飞利浦2013款中高端智能电视被曝存安全漏洞

kjddkun · 发表于 2014-4-1 13:58

智能电视现在已经在许多消费者客厅中的扮演着重要的角色，但是既然作为智能设备，那么安全性就同样非常重要。根据最新的报告显示，飞利浦智能电视的最新版本固件目前存在了一个并不安全的Miracast无线网络漏洞，可以让潜在攻击者通过远程信号控制电视以及进行未经授权的操作。

来自Malta机构的研究人员在基于ReVulu公司最近公布的一段演示视频后表示，攻击者可以通过飞利浦智能电视在连接到不安全的无线网络后发起攻击。这些潜在的攻击方式包括访问电视的配置文件、访问通过USB存储装置的文件、连接到电视、广播视频、音频和电视图像，甚至可以通过外部的电视遥控应用程序来从电视中的Cookie中窃取用户网站的身份验证。通过Miracast打开不安全的网络后，用户在通过台式电脑、平板电脑、手机或其它设备中投射到电视屏幕上的图像就会被黑客窃取。

ReVulu安全机构的研究人员在上周五的邮件中表示，飞利浦智能电视最弱的固件系统在通过特定的DIRECT-xy和标识符接入到无线网络后，就有可能陷入成为攻击目标。

“所以基本上用户可以没有任何限制的直接将电视接入到无线网络中，”研究人员表示。“Miracast功能是默认启用并且无法更改密码的，我们曾经尝试所有可能的方法按照飞利浦电视使用手册中的建议来重置，但是电视依然允许任何人都可以进行连接。”

通常智能电视都不会采取任何额外的安全措施，比如为每一个无线客户端生成独特的密匙，在想要连接电视机之前进行手动授权等。

这个问题也能并不存在于所有的飞利浦智能电视中，而只是针对最新版本的固件才发现了这个漏洞。通过在一些卖场中运行旧版本固件的电视进行测试，并没有发现此次提到的漏洞。

研究人员测试的是飞利浦55英寸的55PFL6008S智能电视，相信还有另外许多2013年款的型号都存在同样的问题，因为这些电视使用的都是相同的固件。比如47PFL6158、55PFL8008以及84PFL9708等，虽然尺寸不同，但是固件版本都一样。

不安全的无线访问再加上JointSpace服务漏洞，可以允许外部程序远程控制电视，甚至可以允许攻击者直接提取电视机的配置文件、USB设备中的文件或存在于电视机浏览器中的Cookie、Gmail信息等。

“比如Opera浏览器的Cookie通常都会将所有的网站信息和电视应用程序保存在固定的一个文件夹中，拥有固定的路径和名称，因此这非常容易被人远程下载。”研究人员说。而这些Cookie可以让或记者获得用户的网络账户数据。而成功的几率则取决于用户访问每个网站的附加安全措施。

根据来自位于柏林一家名叫Schobert信息安全咨询公司在去年9月公开披露的JointSpace信息来看，他们认为漏洞或许并不像ReVulu公司声称的那样只存在于飞利浦电视机的最新版本固件中。

但是，即使这个漏洞被修补好，通过Miracast方式接入无线网络仍然很难让我们拥有安全感，比如攻击者依然可以通过外部应用程序或远程控制电视机来控制视频和音频内容。

“我们已经意识到ReVulu机构提出的在2013年高端系列电视机中存在关于Miracast的安全问题，”飞利浦和冠捷科技组成的合资公司负责全球通信的主管Eva Heller在一份电子邮件中声明。“我们的专家正在对此进行调查并积极修复。”

消费者要做的，除了等待修复漏洞之外，还需要关掉电视机默认开启的Wi-Fi Miracast功能。步骤是按下遥控其中的导航按钮到设置界面，然后选择网络设置，找到Wi-Fi Miracast并且关闭即可。

时湉湉 · 发表于 2014-4-1 14:27

很给力，ZNDS有你更精彩！

阿里巴巴 · 发表于 2014-4-21 17:07

不得不回

› 综合交流 / 资源分享区 › 综合交流大区

飞利浦2013款中高端智能电视被曝存安全漏洞 ...

飞利浦2013款中高端智能电视被曝存安全漏洞

相关帖子

	地板无效楼层，该帖已经被删除