QR code per la pagina originale

Smart TV, attacco remoto tramite DVB-T

Sfruttando le vulnerabilità del browser e il segnale DVB-T è possibile ottenere il controllo remoto delle smart TV e attaccare anche altri dispositivi IoT.

,

Un ricercatore di sicurezza ha scoperto gravi vulnerabilità in due smart TV di Samsung che consentono di ottenere il controllo completo dei dispositivi attraverso il segnale digitale terrestre (DVB-T). La dimostrazione dell’attacco è stata effettuata da Rafael Scheel, consulente di Oneconsult, durante un seminario organizzato dalla European Broadcasting Union. Un simile hack evidenzia ancora una volta i rischi associati alla Internet of Things.

Il proof-of-concept mostrato dal ricercatore prevede l’uso di un trasmettitore a basso costo e l’inserimento di specifici comandi nel segnale DVB-T, uno standard molto diffuso in Europa, Asia e Africa. In alcuni paesi è supportato anche lo standard HbbTV. La presenza di quest’ultimo è necessaria per effettuare l’attacco, sfruttando le vulnerabilità del browser eseguito in background sulle smart TV. Dopo aver ottenuto l’accesso remoto, il malintenzionato può eseguire qualsiasi comando con privilegi root, anche se l’utente riavvia il dispositivo e ripristina le impostazioni di fabbrica.

La dimostrazione è stata fatta con due modelli recenti di Samsung, ma la tecnica è applicabile anche a smart TV di altri produttori. Esistono altri tipi di attacco, come quello descritto nei documenti di WikiLeaks, ma è richiesto un accesso fisico, quindi le probabilità di successo sono inferiori. Scheel ha invece utilizzato un trasmettitore che permette di ottenere il controllo remoto della smart TV entro una certa distanza (ad esempio dal balcone o da un appartamento vicino). Teoricamente si potrebbe anche estendere la copertura del segnale e inviare comandi infetti nelle trasmissioni satellitari e via cavo.

Un cybercriminale potrebbe usare la smart TV connessa ad Internet per attaccare altri dispositivi IoT presenti nelle abitazioni, come le videocamere di sorveglianza, e spiare l’utente da remoto. Quanto scoperto da Scheel dimostra che i produttori non considerano la sicurezza una priorità. Tra l’altro gli aggiornamenti sono meno frequenti rispetto a quelli distribuiti per computer e smartphone.

Fonte: ArsTechnica • Notizie su:
Commenta e partecipa alle discussioni