據Computerworld網站報道,智能電視將成為網絡犯罪分子新的攻擊目標,因為其安全防御水平遠遠落后于智能手機和桌面計算機。
由于廠商更重視用戶使用的方便性而非安全,運行Android等移動操作系統的智能電視成為容易受到攻擊的目標,廠商的這一取舍可能帶來嚴重后果。
Computerworld表示,由于經常被應用在企業會議室,智能電視不僅僅是一款消費設備。據市場研究公司Research and Markets預測,在2019年底前,智能電視銷量每年將增長逾20%。
安全專家稱,盡管針對智能電視的攻擊尚未大規模爆發,但網絡犯罪分子注意到其軟肋只是個時間問題。
Tolaga Research首席研究官菲爾?馬歇爾(Phil Marshall)表示,“許多解決方案甚至沒有采用在IT界已知的最佳安全措施。智能電視生態鏈四分五裂,廠商重視的是迅速在市場上推出解決方案。”
智能電視從本質上說就是計算機,USB接口、操作系統和網絡功能與智能手機沒有區別。但與計算機和移動設備不同的是,智能電視通常不要求對用戶身份進行任何認證。
網絡安全廠商Tripwire計算機安全研究人員克萊格?揚(Craig Young)表示,“基本上,只要人與智能電視在同一個房間,就會被認為是電視的所有者。”克萊格?揚一直在研究智能電視的安全問題。
克萊格?揚還表示,部分型號智能電視不能確認通過網絡發送命令的人,就是能實際控制電視的人。
這意味著黑客可能控制智能電視在會議期間顯示不符合用戶預期的內容。克萊格?揚說,“如果參會人員正在利用智能電視進行演示,這會導致出現尷尬情況或一些意想不到的情況。”
包括三星、LG和索尼在內的多家主流智能電視廠商都推出了智能電視應用商店,但用戶完全可能被誘騙通過第三方應用商店下載惡意應用,用來攻擊智能手機的方法也可以用來攻擊智能電視。
安全廠商賽門鐵克安全威脅研究人員坎迪德?烏衣斯特(Candid Wueest)故意讓其全新的Android電視感染了勒索件。勒索件是一種惡意軟件,對用戶文件加密,脅迫用戶支付贖金。
烏衣斯特的試驗帶有“作弊”嫌疑:他修改了路由器的DNS(域名系統)設置,模擬了中間人攻擊,讓電視從一個不可靠的來源下載勒索件。
Computerworld稱,烏衣斯特還提到智能電視與軟件更新有關的許多其他問題。當下載更新包時,部分型號智能電視不使用被稱作SSL/TLS的安全協議。
這可能讓網絡犯罪分子誘騙電視下載惡意固件。部分型號智能電視甚至不驗證下載固件的完整性。烏衣斯特在接受電話采訪時說,“智能電視的安全性“讓人不敢恭維”。
所有這些小問題會釀成讓人煩惱的大問題,尤其是在智能電視與商務活動日趨融合、人們越來越多地在電視上輸入支付卡信息的情況下。
移動設備安全廠商0xID聯合創始人斯科特?吳(Scott Wu)說,“我妻子喜歡黑色星期五在電視上購物。用戶會把財務信息與電視捆綁在一起。”
智能電視沒有運行任何反病毒軟件,雖然反病毒軟件是否能阻止針對智能電視的網絡攻擊還值得懷疑。
克萊格?揚表示,盡管能抵擋網絡攻擊,反病毒軟件也會降低系統性能,問題變成“在電視上運行安全軟件是否意味著Netflix會卡頓,這將影響智能電視安全解決方案的普及”。
斯科特?吳表示,至少Android的授權模式,能限制在沒有獲得用戶明確批準的情況下應用的功能,從而限制了惡意應用在智能電視上興風作浪的能力。但用戶可能愚蠢地無視警告信息,繼續觀看電視節目。
克萊格?揚指出,與智能電視有關的問題同樣會影響大量所謂的物聯網設備,專家擔心物聯網設備會受到攻擊。
Computerworld指出,部分公司利用能夠監測網絡上異常現象的新產品而非反病毒軟件解決這一擔憂。例如,F-Secure的Sense和Dojo-Labs的產品,能監測家庭網絡上許多設備的流量,從中發現網絡攻擊的蛛絲馬跡。克萊格?揚說,“很顯然的是,業內人士在考慮這一問題。”
京公網安備 11010502049343號