美國(guó)網(wǎng)絡(luò)安全公司Tripwire 12月14日發(fā)布研究報(bào)告顯示，基于Android的電視機(jī)頂盒很可能運(yùn)行著過(guò)時(shí)的操作系統(tǒng)，至少有一年未收到安全更新。

Tripwire的漏洞與暴露研究小組（VERT）購(gòu)買(mǎi)了十臺(tái)基于Android的電視機(jī)頂盒進(jìn)行測(cè)試。這項(xiàng)實(shí)驗(yàn)的帶頭研究人員克雷格-楊（Craig Young）通過(guò)電子郵件向外媒表示， 熱門(mén)Amazon US、Amazon UK和eBay“Android電視盒子”產(chǎn)品中就有幾款他們測(cè)試的機(jī)頂盒。

運(yùn)行過(guò)時(shí)操作系統(tǒng)的機(jī)頂盒不會(huì)收到更新

Tripwire VERT小組表示，所有測(cè)試設(shè)備在運(yùn)行老舊和不安全的Android版本，本應(yīng)每月進(jìn)行安全更新的Android機(jī)頂盒，已經(jīng)快一年沒(méi)有收到安全更新。這些機(jī)頂盒更新必須由機(jī)頂盒廠(chǎng)商提供，無(wú)法由谷歌直接提供，這就如同大多數(shù)使用過(guò)時(shí)Android操作系統(tǒng)的手機(jī)用戶(hù)不能依靠移動(dòng)運(yùn)營(yíng)商提供更新和安全補(bǔ)丁一樣。

另一個(gè)重大的安全問(wèn)題在于，所有這些設(shè)備默認(rèn)允許安裝來(lái)源不受信任的Android應(yīng)用程序。這意味著大多數(shù)基于Android的設(shè)備會(huì)因此易遭遇惡意軟件感染，尤其是智能手機(jī)。

機(jī)頂盒可執(zhí)行間諜活動(dòng)

研究人員指出，攻擊者能在幾個(gè)系統(tǒng)上通過(guò)網(wǎng)絡(luò)連接到機(jī)頂盒，無(wú)需實(shí)現(xiàn)授權(quán)便能完全控制系統(tǒng)。測(cè)試中，其中一臺(tái)機(jī)頂盒配備有集成攝像頭和麥克風(fēng)，研究人員能借此竊聽(tīng)附近用戶(hù)的對(duì)話(huà)。這種攻擊方式與“哭泣天使”（Weeping Angel）類(lèi)似。

“哭泣天使”（Weeping Angel）：

2017年三月，維基解密曝光大量CIA黑客工具，其中包含代號(hào)為“哭泣天使”（Weeping Angel）的黑客工具，該工具以三星 F8000 智能電視為目標(biāo)，制造出一種“假關(guān)機(jī)”模式讓用戶(hù)以為屏幕已經(jīng)被關(guān)掉，此時(shí)電視會(huì)隱秘地進(jìn)行錄音，并在電視重新打開(kāi)之后通過(guò) WiFi 將錄音內(nèi)容上傳給CIA 服務(wù)器。“哭泣天使”能將智能電視的麥克風(fēng)轉(zhuǎn)變?yōu)楸O(jiān)控工具。

研究人員測(cè)試的大多數(shù)機(jī)頂盒屬于低端產(chǎn)品，有的甚至大肆宣傳能免費(fèi)獲取付費(fèi)版有線(xiàn)資源。研究人員楊建議消費(fèi)者購(gòu)買(mǎi)品牌產(chǎn)品，切勿購(gòu)買(mǎi)野雞品牌的產(chǎn)品，因?yàn)檫@些設(shè)備運(yùn)行Android系統(tǒng)易遭遇基于Android的勒索軟件攻擊。

用戶(hù)一旦遭遇機(jī)頂盒勒索攻擊，要解鎖的不是文件，更多的是解鎖設(shè)備本身的訪(fǎng)問(wèn)權(quán)限。