Загрузка эксплойта для Array.prototype.sort() через встроенный браузер телевизора, направленный по указанному адресу командой по DVB-T. Атака происходит в фоновом режиме, пока жертва смотрит передачу про птичек
Как известно, у всех «умных» телевизоров есть разъём USB, куда можно вставить флешку и установить на ТВ вредоносный софт, именно так поступали агенты ЦРУ (см. эксплойт Weeping Angel для телевизоров Samsung). Но есть и альтернативный способ взлома, когда необязательно проникать в квартиру жертвы, а взламывать можно миллионы телевизоров одновременно. Правда, для этого нужен доступ к телевещательной станции, то есть атаку можно проводить на государственном уровне в своей собственной стране. Как вариант, можно купить передатчик DVB-T по цене от $50 до $150 — и провести нелегальную трансляцию, это может сделать кто угодно.
На семинаре по кибербезопасности медиа Media Cyber Security Seminar специалист по безопасности из немецкой компании Oneconsult AG прочитал очень интересный доклад о взломе «умных» телевизоров и даже наглядно продемонстрировал представителям медиаиндустрии, как удалённо заражать телевизоры с помощью обычного телевизионного сигнала DVB-T (Digital Video Broadcasting — Terrestrial), который они постоянно транслируют на своих частотах.
Вредоносная телепередача позволяет направить встроенный браузер на эксплойт, который получает рутовые права на телевизоре, может установить там произвольный код и использовать ТВ любым образом, как пожелает злоумышленник: начиная со шпионажа и заканчивая проведением DDoS-атак на удалённые цели, когда телевизор становится частью ботнета.
Центральным звеном для проведения атаки является технология Hybrid Broadcast Broadband TV (HbbTV) — ТВ-стандарт для передачи дополнительных предложений из интернета на телевизор. По сути, это специальный адаптированный для телевизора сайт, который можно вызвать на экран. Данную технологию поддерживают почти все современные «умные» телевизоры, она совместима с передачей телесигнала по DVB-T, DVB-C и IPTV.
HbbTV поддерживает JavaScript, CSS и DOM. Согласно стандарту, телевизор обязан выполнять команды, полученные по HbbTV. Таким образом осуществляется передача информации в фоновом режиме, пока телезритель мирно смотрит телепередачу.
Рафаэль Шиль (Rafael Scheel) из компании Oneconsult AG разработал два эксплойта, которые при загрузке во встроенный браузер телевизора выполняют вредоносный код, получают рутовые права и эффективно захватывают контроль над устройством.
Первый эксплойт использует уязвимость CVE-2015-3090 в Adobe Flash Player — одну из тех 0day-уязвимостей, которые стали известными после взлома Hacking Team в 2015 году.
Рафаэль продемонстрировал работу эксплойта, проведя вредоносную трансляцию по DVB-T, направив браузер телевизора по указанному адресу в интернете, откуда выполняется код, который использует указанную уязвимость.
После этого мы получаем полный доступ к телевизору в удалённом режиме.
Как выяснилось, почти никто из производителей телевизоров не озаботился закрыть эту уязвимость в своих браузерах для ТВ. Правда, мало в каких телевизорах Adobe Flash включен по умолчанию, поэтому Рафаэль разработал второй эксплойт, который использует более старую уязвимость в JavaScript-функции
Array.prototype.sort(). 
Вот уже JavaScript поддерживается на всех «умных» телевизорах, а уязвимость, как водится, не закрыта. Второй эксплойт делает всё то же, что и первый, но не требует работы плагина Flash.
По словам Рафаэля, около 90% моделей «умных» телевизоров, которые продавались на рынке в последние годы, уязвимы для этой атаки. Исследователь обращает внимание, что DVB-T — это односторонний канал коммуникации, он полностью анонимный со стороны нападающего. Не остаётся никаких следов. При этом существует несколько разных способов, как направить сигнал DVB-T на телевизор жертвы. Понятно, что телекомпания или спецслужбы могут сделать это в масштабах всей страны, но если этим занимается частное лицо, то приходится быть более изобретательным. Здесь три варианта:
- атака на телевещателей;
- перезапись сигнала DVB-T своим более мощным сигналом (например, трансляция с дрона): телевизор по умолчанию должен переключаться на источник более сильного сигнала;
- вмешательство в DVB-C (IPTV), например, через интернет.
Может быть, имеет смысл XSS-атака на сайт телевещателя.
Дрон с передатчиком DVB-T
Шиль сказал, что разработал эксплойт для умных телевизоров ещё до того, как узнал о разработках ЦРУ.
Комментарии (48)
servermen
31.03.2017 00:47+390% «умных» телевизоров можно взломать вредоносной ТВ-передачей и шпионить за телезрителями
Мозг телезрителя можно точно взломать с помощью вредоносной телепередачи, даже если он будет смотреть ее
по обычному старенькому (даже ламповому) телевизору.
Areso
31.03.2017 09:01+2Поэтому телевизор должен оставаться телевизором, а не становится эрзац-компьютером.
Ну и конечно чехол или синюю изоленту на глазок веб-камеры)
saboteur_kiev
31.03.2017 13:26Дело не в телевизоре.
Аналоговое радиовещание устаревает и закрывается.
Спутниковая трансляция прекращается.
Понемногу все уезжает в интернет по разным причинам, в том числе и по той причине, что удобнее контролировать, удобнее смотреть тогда, когда тебе удобно, удобнее крутить целевую рекламу. То есть сама технология принуждает к тому, что бы телевизор мог самостоятельно лезть в сеть и показывать оттуда контент.
А чтобы лезть в инет, декодировать звук и видео разных форматов, уметь пользоваться разными ресурсами, нужнен софт, а написать его без ошибок нереально.Areso
02.04.2017 13:21+1Согласен, но софт в телевизорах редко когда правят вообще и если правят, то очень недолго.
Смотрите, я покупаю скажем 52-55". Самую дорогую панель. Мне нравится картинка, разрешение, звук. В общем все нравится. В довесок идут какие-то "умные" опции, скайп, браузер, еще что-то. Скайп поменяет протокола, версию браузера перестанут поддерживать сайты, приложение ютуба отвалится через год. При этом, мне проще поставить рядом мини-пк с Win/Linux (по вкусу), и обновлять все это там. И я смогу там все это обновлять. Потому что сама панель, матрица — она и через три года актуальна, а вот вся эта "умная" начинка — уже нет. В результате благодаря этим умным опциям, у которых 2-3 года срок жизни, меня подталкивают к новой покупке, но панель-то еще хороша.
Я не хочу переплачивать за то, что через пару лет превратиться в тыкву.
У меня для этого есть ПК, он дольше остается актуальным (в плане ПО), а телевизор мне нужен отображать каналы или данные с HDMI входа.Pakos
03.04.2017 09:55У них ещё плееры зачастую пишутся пришельцами для пришельцев, в современных получше, но модели постарше — ужас и кошмар. Можно только запустить и смотреть как телевизор, ставя на недолгую паузу.
saboteur_kiev
07.04.2017 13:49Ну прикол в том, что умный телевизор НА САМОМ ДЕЛЕ не намного дороже глупого. Особенно для больших диагоналей стоимость умной начинки — небольшая часть стоимости ТВ.
А свой домашний комп и желание это все подключать и смотреть — есть не у всех. То есть подавляющее количество клиентов, покупают умный ТВ, чтобы смотреть не кабельное или спутниковое, а уже давно оплаченный какой-нить netflix, или itunes, без всяких дополнительных девайсов.
DrZlodberg
31.03.2017 09:04У глобального взлома есть одна маленькая проблема. Все телевизоры ломанутся на сайт одновременно, что может его немного заDDOSить.
LAVir
31.03.2017 09:35Это смотря во сколько вещать, ночью обновить те которым не спиться, потом днем, в рабочие дни, потом оставшиеся, в рабочие дни утром и вечером. Да и у самой вещательной компании есть статистика по просмотрам.
DrZlodberg
31.03.2017 09:47Даже если так. Тут проблема в очень хорошей синхронизации запросов. Завал будет очень короткий, но качественный. Да и не факт, что один телевизор не попадёт в большую часть категорий. А ломиться на сайт он будет при каждом запросе.
DarkTiger
31.03.2017 12:52+1Рандомное время отправки пакета. Все серверы мира именно так избегают ддоса :)
Revertis
31.03.2017 13:30+1Мне кажется, что JavaScript может подождать рандомное время до начала запроса на сервер.
Jimbom
06.04.2017 14:34А что мешает модифицировать зловредное ПО таким образом, чтобы оно ломилось на сайт не сразу после трансляции и захвата управления, а через некоторый случайный промежуток времени? Такой себе TDMA.
DrZlodberg
06.04.2017 14:59На счёт ПО не знаю, но как минимум на само первое обращение повлиять не удастся (если это в стандарте как-то не предусмотрено)
Plone
31.03.2017 09:59+2Есть логичный вариант — не подключать телевизор к сети. И пусть себе ломится… И в общем-то дело не только в паранойе — все равно все «смарт» функции проще получить на компьютере.
KOLANICH
31.03.2017 11:43+2Если люди начнут резать один бекдор, производители ответят тем, что добавят ещё один: начнут исполнять код, встроенный прямо в поток. Ведь если подумать, эта фича — явный бекдор: зрителю без его согласия и уведомления загружается и исполняется активный контент. Когда прочитал заголовок, первая мысль была про уязвимость в разборке видеопотока, а не о бекдоре. Мораль сей басни — надо анализировать стандарты, поднимать шум и требовать невнесения бекдоров ещё на этапе обсуждения, а не когда стандарты уже приняты и реализованы кучей производителей.
qw1
31.03.2017 20:39Допустим, код выполняется. А что дальше? Шпионить за юзером через камеру нельзя, сливать в инет картинки, которые выводятся на экран — нельзя. Можно только показывать рекламу или сломать устройство, но это всё закончится походом в сервис и перепрошивкой.
Sun-ami
01.04.2017 13:15+1Можно за несколько месяцев при помощи дрона незаметно взломать все smart-телевизоры в крупном городе, загрузить в них видеоролик, а потом синхронно запустить «чрезвычайное сообщение МЧС» на любую тему — от ядерной атаки до вторжения инопланетян. В результате может возникнуть паника и давка с десятками жертв. И это если только хохмы ради. А если это устроят реальные террористы? Подумайте, как они могут использовать массовое скопление людей, стремящихся укрыться в метро? Производителей нужно обязать сделать HbbTV отключаемой и отключенной по умолчанию.
Igor_34_rus
04.04.2017 11:22+2Такие массовые скопления в метро происходят каждый день в час пик, и давка там больше чем будет при сообщении по ТВ. Не говоря о том, что часть просто не увидит оповещение, а часть отреагирует иначе.
Производителей нужно обязать сделать HbbTV отключаемой и отключенной по умолчанию.
В моём представлении вообще ничего не должно запускаться без ведома пользователя. А если очень надо то SandBox, и уж точно никак не из под ROOT.Sun-ami
04.04.2017 19:25Такие массовые скопления в метро происходят каждый день в час пик…
Так это скопления в метро, где на входе есть контроль, по крайней мере видеонаблюдение, а в городах где уже случались теракты — постоянный фэйс-контроль, рамки, рентген, и, почти уверен, ещё много негласных средств контроля вроде скрытых металлоискателей, детекторов запаха и радиоактивности. А при возникновении паники массовое скопление людей возникнет на открытой местности у входов в метро, где таких мер безопасности нет.
Igor_34_rus
04.04.2017 11:15Не понял почему «Шпионить за юзером через камеру нельзя»? Выполняется вообще любой код под root.
Если телевизор подключен к домашнему хранилищу или облаку. можно зашифровать содержимое.qw1
04.04.2017 11:20+1Потому что вся эта ветка комментариев начиналась с вводной
Есть логичный вариант — не подключать телевизор к сети. И пусть себе ломится
Если телевизор подключен к домашнему хранилищу или облаку
Для полной безопасности лучше транслировать с ПК на ТВ по HDMI. Если нужно подключение к хранилищу, фаирволить всё лишнее.
arkudaki
06.04.2017 14:45И дело то не в сети а в вещании на DVB-T, у меня смарт-карта и по ней то все и придёт… пошёл в гараж за ламповым…
Arcanum7
31.03.2017 10:30-3Телевизор есть как аппарат для просмотра фильмов с флешек. Телевидение — жаба душит приставку покупать; Вай-фай — телевизор не имеет. Новости(политика) даже в интернете не читаю. ЧЯДНТ?
WildHorn
31.03.2017 12:22+2«Если вы не интересуетесь политикой, это ещё не означает, что политика не интересуется вами»
President_of_Mars
31.03.2017 12:35+5Новости(политика) даже в интернете не читаю.
«Идиот — в Древней Греции гражданин полиса, живущий в отрыве от общественной жизни, не участвующий в общем собрании граждан полиса и иных формах государственного и общественного демократического управления».
and7ey
31.03.2017 20:38+1Как вариант, можно купить передатчик DVB-T по цене от $50 до $150
Не хватает ссылок :)
myanacc1
06.04.2017 14:34Это такой способ рекламировать дроны? К чему бы так извращаться, если проще подъехать на «газели». Мощность передатчика и питания к нему не будут проблемой, как для дрона.
AshGrey
06.04.2017 14:34-1В целом идем к тому, что если сильно не палиться то можно по-тихому майнить на телевизорах, чайниках и прочей бытовой технике свою копеечку.
AlexOnBeta
06.04.2017 14:45+1Есть какие-нибудь мысли как защититься? Кроме той, что отлучить телевизор от вайфая.
Из сетевых сервисов активно пользуюсь только ютьюбом (потому что удобно).
Spiritschaser
06.04.2017 14:45Т.е. теперь можно исправить все эти убогие прошивки??? Так это же замечательно!
technik
06.04.2017 14:45+1Именно поэтому специально купил smart tv без встроенной камеры и микрофона.
Killing_Joker13
06.04.2017 14:45+1Великой большой брат. Будущее стало реальностью. Я вообще тв использую только для пс4 и фильмов с флешки.
alexZzZzZzZ
06.04.2017 15:22А что за странный «старый JavaScript exploit с array sort» он использовал? Нигде не могу найти информацию о нём.
begemot_sun
Вот оно IoT security hell.
и такого будет все больше.
RealSaniok