2015-12-30 admin
据Computerworld网站报道,智能电视将成为网络犯罪分子新的攻击目标,因为其安全防御水平远远落后于智能手机和桌面计算机。
由于厂商更重视用户使用的方便性而非安全,运行Android等移动操作系统的智能电视成为容易受到攻击的目标,厂商的这一取舍可能带来严重后果。
Computerworld表示,由于经常被应用在企业会议室,智能电视不仅仅是一款消费设备。据市场研究公司Research and Markets预测,在2019年底前,智能电视销量每年将增长逾20%。
安全专家称,尽管针对智能电视的攻击尚未大规模爆发,但网络犯罪分子注意到其软肋只是个时间问题。
Tolaga Research首席研究官菲尔•马歇尔(Phil Marshall)表示,“许多解决方案甚至没有采用在IT界已知的比较佳安全措施。智能电视生态链四分五裂,厂商重视的是迅速在市场上推出解决方案。”
智能电视从本质上说就是计算机,USB接口、操作系统和网络功能与智能手机没有区别。但与计算机和移动设备不同的是,智能电视通常不要求对用户身份进行任何认证。
网络安全厂商Tripwire计算机安全研究人员克莱格•扬(Craig Young)表示,“基本上,只要人与智能电视在同一个房间,就会被认为是电视的所有者。”克莱格•扬一直在研究智能电视的安全问题。
克莱格•扬还表示,部分型号智能电视不能确认通过网络发送命令的人,就是能实际控制电视的人。
这意味着黑客可能控制智能电视在会议期间显示不符合用户预期的内容。克莱格•扬说,“如果参会人员正在利用智能电视进行演示,这会导致出现尴尬情况或一些意想不到的情况。”
包括三星、LG和索尼在内的多家主流智能电视厂商都推出了智能电视应用商店,但用户完全可能被诱骗通过第三方应用商店下载恶意应用,用来攻击智能手机的方法也可以用来攻击智能电视。
安全厂商赛门铁克安全威胁研究人员坎迪德•乌衣斯特(Candid Wueest)故意让其全新的Android电视感染了勒索件。勒索件是一种恶意软件,对用户文件加密,胁迫用户支付赎金。
乌衣斯特的试验带有“作弊”嫌疑:他修改了路由器的DNS(域名系统)设置,模拟了中间人攻击,让电视从一个不可靠的来源下载勒索件。
Computerworld称,乌衣斯特还提到智能电视与软件更新有关的许多其他问题。当下载更新包时,部分型号智能电视不使用被称作SSL/TLS的安全协议。
这可能让网络犯罪分子诱骗电视下载恶意固件。部分型号智能电视甚至不验证下载固件的完整性。乌衣斯特在接受电话采访时说,“智能电视的安全性“让人不敢恭维”。
所有这些小问题会酿成让人烦恼的大问题,尤其是在智能电视与商务活动日趋融合、人们越来越多地在电视上输入支付卡信息的情况下。
移动设备安全厂商0xID联合创始人斯科特•吴(Scott Wu)说,“我妻子喜欢黑色星期五在电视上购物。用户会把财务信息与电视捆绑在一起。”
智能电视没有运行任何反病毒软件,虽然反病毒软件是否能阻止针对智能电视的网络攻击还值得怀疑。
克莱格•扬表示,尽管能抵挡网络攻击,反病毒软件也会降低系统性能,问题变成“在电视上运行安全软件是否意味着Netflix会卡顿,这将影响智能电视安全解决方案的普及”。
斯科特•吴表示,至少Android的授权模式,能限制在没有获得用户明确批准的情况下应用的功能,从而限制了恶意应用在智能电视上兴风作浪的能力。但用户可能愚蠢地无视警告信息,继续观看电视节目。
克莱格•扬指出,与智能电视有关的问题同样会影响大量所谓的物联网设备,专家担心物联网设备会受到攻击。
Computerworld指出,部分公司利用能够监测网络上异常现象的新产品而非反病毒软件解决这一担忧。例如,F-Secure的Sense和Dojo-Labs的产品,能监测家庭网络上许多设备的流量,从中发现网络攻击的蛛丝马迹。克莱格•扬说,“很显然的是,业内人士在考虑这一问题。”