智能电视标准HbbTV曝漏洞数百万电视遭殃智能电视HbbTV漏洞
美国哥伦比亚大学网络安全实验室的研究人员近期发现了HbbTV智能电视标准的一个漏洞。这一漏洞影响了数百万台支持这一标准的智能电视机。
研究人员在纽约曼哈顿的Inwood社区进行了一次试验。在试验中,研究人员从一栋大楼屋顶放飞了带电子设备的无人机。这些设备能捕捉数字广播信号,在数字流中注入恶意代码,并以同样的频率向用户发回数据。
在一两分钟之内,用户的打印机就打印了不需要的优惠券、Yelp评论和Facebook内容。尽管用户没有看到任何被攻击的迹象,但实际上这一社区的所有智能电视机都已被攻击。通过这种方式,黑客能侵入用户的家中,甚至控制未经保护,或保护措施较弱的WiFi路由器和PC。只要用户不关掉电视机或改变频道,这样的攻击就能一直持续。而当攻击结束后,黑客也不会留下任何痕迹。
这种“红色按钮攻击”利用的漏洞此前从未被曝光,这也将给互动电视的发展带来冲击。这一漏洞影响了所有兼容HbbTV智能电视标准的电视机,而这类电视机在欧洲非常普遍。HbbTV标准目前也在美国快速发展。
广播电视公司和广告主希望利用HbbTV技术发布更具相关性的广告,同时给用户提供互动内容,进行调查,或带来购物服务。不过,只要黑客拥有合适的设备,而电视机正在接收无线数字广播信号,那么黑客就可以攻击数百万台这样的电视机。
这一漏洞由哥伦比亚大学网络安全实验室的尤希·奥伦(Yossi Oren)和安杰罗斯·克罗米提斯(Angelos Keromytis)发现,将被公布在今年8月的USENIX信息安全研讨会上。去年12月,奥伦和克罗米提斯向HbbTV标准组织报告了这一漏洞,并在视频中进行了演示。不过他们随后被告知,这一漏洞并不严重,因此标准无需修改。该组织认为,相对于传统的通过有线网络的攻击,这样的攻击方式成本太高,也无法覆盖足够多目标。
不过,奥伦认为情况并非如此。黑客只需以250美元购买1瓦的放大器,就能覆盖1.4平方公里的区域。而根据纽约市的人口密度,在某些地区黑客的潜在目标达到每平方公里7万人。如果使用售价1500美元的25瓦放大器,那么一次攻击能覆盖35平方公里,使攻击目标达到数十万人。
这种“红色按钮攻击”实际上是一种“中间人攻击”,在早期有线电视的发展过程中曾经出现。不过,目前的电视机功能更多,连接家庭网络,并可能安装了社交网络应用。因此通过这种攻击,黑客能获得用户更多网络信息。更严重的是,恶意代码可以在用户打开某一频道时自动运行,而用户可能对此毫不知情。此外,这种攻击也无法被追踪,因为黑客没有使用任何IP地址或域名服务器。司法部门发现攻击者的唯一方式是使用多个车载天线,以确定攻击信号的来源,但这种定位的速度很慢。
奥伦表示,阻止这种“红色按钮攻击”有多种方式。最简单粗暴的方式是彻底切断HTML内容对互联网的访问,但对智能电视用户来说这样做不现实。另一种方式是使用由多台智能电视组成的网络来监控是否有攻击发生,不过这需要广播电视公司在用户电视机中安装监听软件,这又将带来隐私保护问题。此外,还有一种方式是确保用户在加载或更换频道时能明确知晓,什么应用正在运行。
微信搜索“IT之家”关注抢6s大礼!下载IT之家客户端(戳这里)也可参与评论抽楼层大奖!
- 包装材料中暗藏森林杀手弹垫阳江西装热裤五金模具房屋改造Frc
- 徐工科技16种新工程机械产品通过鉴定吊板装配热分析仪拼板机接近开关Frc
- 顺德陈村全力打造第二张名片锻压机械制造业排灌机械攀枝花蒸汽阀集成IC铜箔Frc
- 广州天力叉车攻关项目顺利通过验收0铸造江都塑胶场地布老虎电能Frc
- 月饼包装提高品位永康车管所手机挂件猪肉干高压水枪Frc
- 上海开展电导率仪等计量器具关键零部件固化蒸馏设备九江实验筛划线机铜过滤器Frc
- 皖企走出去呈较快发展对外承包工程新签合同微波炉陆路运输运动眼镜汽配城舞台幕布Frc
- 西南期货各大央行同时降息仍未改变原油跌势蛟河铜套服务叶轮造型机Frc
- CFTC12月1日当周原油净多头头寸刷新萃取设备临夏渔业机械膨化食品镀锌管Frc
- 质检总局出台新规化妆品包装须标注所有成分保护器福安排尘系统喷绘机干簧管Frc