據Computerworld網站報導,智慧電視將成為網路犯罪分子新的攻擊目標,因為其安全防禦水準遠遠落後于智慧手機和桌上型電腦。由於廠商更重視用戶使用的方便性而非安全,運行Android等移動作業系統的智慧電視成為容易受到攻擊的目標,廠商的這一取捨可能帶來嚴重後果。Computerworld表示,由於經常被應用在企業會議室,智慧電視不僅僅是一款消費設備。
據市場研究公司Research and Markets預測,在2019年底前,智慧電視銷量每年將增長逾20%。
安全專家稱,儘管針對智慧電視的攻擊尚未大規模爆發,但網路犯罪分子注意到其軟肋只是個時間問題。
Tolaga Research首席研究官菲爾•馬歇爾(Phil Marshall)表示,“許多解決方案甚至沒有採用在IT界已知的最佳安全措施。智慧電視生態鏈四分五裂,廠商重視的是迅速在市場上推出解決方案。”
智慧電視從本質上說就是電腦,USB介面、作業系統和網路功能與智慧手機沒有區別。但與電腦和移動設備不同的是,智慧電視通常不要求對使用者身份進行任何認證。
網路安全廠商Tripwire電腦安全研究人員克萊格•揚(Craig Young)表示,“基本上,只要人與智慧電視在同一個房間,就會被認為是電視的所有者。”克萊格•揚一直在研究智慧電視的安全問題。
克萊格•揚還表示,部分型號智慧電視不能確認通過網路發送命令的人,就是能實際控制電視的人。
這意味著駭客可能控制智慧電視在會議期間顯示不符合使用者預期的內容。克萊格•揚說,“如果參會人員正在利用智慧電視進行演示,這會導致出現尷尬情況或一些意想不到的情況。”
包括三星、LG和索尼在內的多家主流智慧電視廠商都推出了智慧電視應用商店,但使用者完全可能被誘騙通過協力廠商應用商店下載惡意應用,用來攻擊智慧手機的方法也可以用來攻擊智慧電視。
安全廠商賽門鐵克安全威脅研究人員坎迪德•烏衣斯特(Candid Wueest)故意讓其全新的Android電視感染了勒索件。勒索件是一種惡意軟體,對使用者檔加密,脅迫用戶支付贖金。
烏衣斯特的試驗帶有“作弊”嫌疑:他修改了路由器的DNS(網域名稱系統)設置,模擬了中間人攻擊,讓電視從一個不可靠的來源下載勒索件。
Computerworld稱,烏衣斯特還提到智慧電視與軟體更新有關的許多其他問題。當下載更新包時,部分型號智慧電視不使用被稱作SSL/TLS的安全協定。
這可能讓網路犯罪分子誘騙電視下載惡意固件。部分型號智慧電視甚至不驗證下載固件的完整性。烏衣斯特在接受電話採訪時說,“智慧電視的安全性“讓人不敢恭維”。
所有這些小問題會釀成讓人煩惱的大問題,尤其是在智慧電視與商務活動日趨融合、人們越來越多地在電視上輸入支付卡資訊的情況下。
移動設備安全廠商0xID聯合創始人斯科特•吳(Scott Wu)說,“我妻子喜歡黑色星期五在電視上購物。使用者會把財務資訊與電視捆綁在一起。”
智慧電視沒有運行任何反病毒軟體,雖然反病毒軟體是否能阻止針對智慧電視的網路攻擊還值得懷疑。
克萊格•揚表示,儘管能抵擋網路攻擊,反病毒軟體也會降低系統性能,問題變成“在電視上運行安全軟體是否意味著Netflix會卡頓,這將影響智慧電視安全解決方案的普及”。
斯科特•吳表示,至少Android的授權模式,能限制在沒有獲得使用者明確批准的情況下應用的功能,從而限制了惡意應用在智慧電視上興風作浪的能力。但使用者可能愚蠢地無視警告資訊,繼續觀看電視節目。
克萊格•揚指出,與智慧電視有關的問題同樣會影響大量所謂的物聯網設備,專家擔心物聯網設備會受到攻擊。
Computerworld指出,部分公司利用能夠監測網路上異常現象的新產品而非反病毒軟體解決這一擔憂。例如,F-Secure的Sense和Dojo-Labs的產品,能監測家用網路上許多設備的流量,從中發現網路攻擊的蛛絲馬跡。克萊格•揚說,“很顯然的是,業內人士在考慮這一問題。”
|