飛利浦2013款中高端智慧電視被曝存安全性漏洞

[摘要]不安全的無線訪問加上JointSpace服務漏洞，可以允許外部程式遠端控制電視。 飛利浦2013款中高端智慧電視被曝存安全性漏洞智慧電視在許多消費者的客廳中扮演著重要角色，作為智慧設備，安全性也非常重要。 據報告顯示，飛利浦智慧電視新版本固件目前存在一個並不安全的Miracast無線網路漏洞，可以讓潛在攻擊者通過遠端信號控制電視以及進行未經授權的操作。 來自Malta機構的研究人員在對ReVulu公司最近公佈的一段演示視頻分析後表示，攻擊者可以通過飛利浦智慧電視在連接到不安全的無線網路後發起攻擊。 這些潛在的攻擊方式包括訪問電視的設定檔、訪問通過USB存儲裝置的檔、連接到電視、廣播視頻、音訊和電視圖像，甚至可以通過外部的電視遙控應用程式來從電視中的Cookie中竊取網站中使用者的身份驗證。 通過Miracast打開不安全的網路後，使用者在通過臺式電腦、平板電腦、手機或其它設備中投射到電視螢幕上的圖像就會被駭客竊取。 ReVulu安全機構的研究人員在上週五的郵件中表示，飛利浦智慧電視最弱的固件系統在通過特定的DIRECT-xy和識別碼接入到無線網路後，就有可能陷入成為攻擊目標。 「所以基本上使用者可以沒有任何限制的直接將電視接入到無線網路中，」研究人員表示。 「Miracast功能是預設啟用並且無法更改密碼的，我們曾經嘗試所有可能的方法按照飛利浦電視使用手冊中的建議來重置，但是電視依然允許任何人都可以進行連接。 」通常智慧電視都不會採取任何額外的安全措施，比如為每一個無線用戶端生成獨特的密匙，在想要連接電視機之前進行手動授權等。 這個問題並不存在於所有飛利浦智慧電視中，只是針對最新版本的固件才發現了這個漏洞。 在一些賣場中運行舊版本固件的電視進行測試，並沒有發現此次提到的漏洞。 研究人員測試的是飛利浦55英寸的55PFL6008S智慧電視，但或許一些2013年款的型號也存在此類問題，因為這些電視使用的都是相同的固件。 比如47PFL6158、55PFL8008以及84PFL9708等，雖然尺寸不同，但是固件版本都一樣。 不安全的無線訪問再加上JointSpace服務漏洞，可以允許外部程式遠端控制電視，甚至可以允許攻擊者直接提取電視機的設定檔、USB設備中的檔或存在於電視機瀏覽器中的Cookie、Gmail資訊等。 「比如Opera瀏覽器的Cookie通常會將所有的網站資訊和電視應用程式保存在固定的一個資料夾中，這些應用程式擁有固定的路徑和名稱，因此很容易被人遠端下載。 」研究人員說。 而這些Cookie可以讓或記者獲得使用者的網路帳戶資料。 而成功的幾率則取決於使用者訪問每個網站的附加安全措施。 根據來自位於柏林一家名叫Schobert資訊安全諮詢公司在去年9月公開披露的JointSpace資訊來看，他們認為漏洞或許並不像ReVulu公司聲稱的那樣只存在於飛利浦電視機的最新版本固件中。 但是，即使這個漏洞被修補好，通過Miracast方式接入無線網路仍然很難讓我們擁有安全感，比如攻擊者依然可以通過外部應用程式或遠端控制電視機來控制視頻和音訊內容。 「我們已經意識到ReVulu機構提出的在2013年高端系列電視機中存在關於Miracast的安全問題，」飛利浦和冠捷科技組成的合資公司負責全球通信的主管Eva Heller在一份電子郵件中聲明。 「我們的專家正在對此進行調查並積極修復。 」消費者要做的，除了等待修復漏洞之外，還需要關掉電視機預設開啟的Wi-Fi Miracast功能。 步驟是按下遙控其中的導覽按鈕到設置介面，然後選擇網路設置，找到Wi-Fi Miracast並且關閉即可。