智能電視安全防御水平遠(yuǎn)落后于手機(jī)和PC

來源:computerworld 2015-12-30 10:04 http://www.sxstscl.cn/ 海峽都市報(bào)電子版

[摘要]智能電視將成為網(wǎng)絡(luò)犯罪分子新的攻擊目標(biāo)，因?yàn)槠浒踩烙竭h(yuǎn)遠(yuǎn)落后于智能手機(jī)和桌面計(jì)算機(jī)。

　　據(jù)Computerworld網(wǎng)站報(bào)道，智能電視將成為網(wǎng)絡(luò)犯罪分子新的攻擊目標(biāo)，因?yàn)槠浒踩烙竭h(yuǎn)遠(yuǎn)落后于智能手機(jī)和桌面計(jì)算機(jī)。

　　由于廠商更重視用戶使用的方便性而非安全，運(yùn)行Android等移動(dòng)操作系統(tǒng)的智能電視成為容易受到攻擊的目標(biāo)，廠商的這一取舍可能帶來嚴(yán)重后果。

　　Computerworld表示，由于經(jīng)常被應(yīng)用在企業(yè)會議室，智能電視不僅僅是一款消費(fèi)設(shè)備。據(jù)市場研究公司Research and Markets預(yù)測，在2019年底前，智能電視銷量每年將增長逾20%。

　　安全專家稱，盡管針對智能電視的攻擊尚未大規(guī)模爆發(fā)，但網(wǎng)絡(luò)犯罪分子注意到其軟肋只是個(gè)時(shí)間問題。

　　Tolaga Research首席研究官菲爾•馬歇爾(Phil Marshall)表示，“許多解決方案甚至沒有采用在IT界已知的最佳安全措施。智能電視生態(tài)鏈四分五裂，廠商重視的是迅速在市場上推出解決方案。”

　　智能電視從本質(zhì)上說就是計(jì)算機(jī)，USB接口、操作系統(tǒng)和網(wǎng)絡(luò)功能與智能手機(jī)沒有區(qū)別。但與計(jì)算機(jī)和移動(dòng)設(shè)備不同的是，智能電視通常不要求對用戶身份進(jìn)行任何認(rèn)證。

　　網(wǎng)絡(luò)安全廠商Tripwire計(jì)算機(jī)安全研究人員克萊格•揚(yáng)(Craig Young)表示，“基本上，只要人與智能電視在同一個(gè)房間，就會被認(rèn)為是電視的所有者。”克萊格•揚(yáng)一直在研究智能電視的安全問題。

　　克萊格•揚(yáng)還表示，部分型號智能電視不能確認(rèn)通過網(wǎng)絡(luò)發(fā)送命令的人，就是能實(shí)際控制電視的人。

　　這意味著黑客可能控制智能電視在會議期間顯示不符合用戶預(yù)期的內(nèi)容。克萊格•揚(yáng)說，“如果參會人員正在利用智能電視進(jìn)行演示，這會導(dǎo)致出現(xiàn)尷尬情況或一些意想不到的情況。”

　　包括三星、LG和索尼在內(nèi)的多家主流智能電視廠商都推出了智能電視應(yīng)用商店，但用戶完全可能被誘騙通過第三方應(yīng)用商店下載惡意應(yīng)用，用來攻擊智能手機(jī)的方法也可以用來攻擊智能電視。

　　安全廠商賽門鐵克安全威脅研究人員坎迪德•烏衣斯特(Candid Wueest)故意讓其全新的Android電視感染了勒索件。勒索件是一種惡意軟件，對用戶文件加密，脅迫用戶支付贖金。

　　烏衣斯特的試驗(yàn)帶有“作弊”嫌疑：他修改了路由器的DNS(域名系統(tǒng))設(shè)置，模擬了中間人攻擊，讓電視從一個(gè)不可靠的來源下載勒索件。

　　Computerworld稱，烏衣斯特還提到智能電視與軟件更新有關(guān)的許多其他問題。當(dāng)下載更新包時(shí)，部分型號智能電視不使用被稱作SSL/TLS的安全協(xié)議。

　　這可能讓網(wǎng)絡(luò)犯罪分子誘騙電視下載惡意固件。部分型號智能電視甚至不驗(yàn)證下載固件的完整性。烏衣斯特在接受電話采訪時(shí)說，“智能電視的安全性“讓人不敢恭維”。

　　所有這些小問題會釀成讓人煩惱的大問題，尤其是在智能電視與商務(wù)活動(dòng)日趨融合、人們越來越多地在電視上輸入支付卡信息的情況下。

　　移動(dòng)設(shè)備安全廠商0xID聯(lián)合創(chuàng)始人斯科特•吳(Scott Wu)說，“我妻子喜歡黑色星期五在電視上購物。用戶會把財(cái)務(wù)信息與電視捆綁在一起。”

　　智能電視沒有運(yùn)行任何反病毒軟件，雖然反病毒軟件是否能阻止針對智能電視的網(wǎng)絡(luò)攻擊還值得懷疑。

　　克萊格•揚(yáng)表示，盡管能抵擋網(wǎng)絡(luò)攻擊，反病毒軟件也會降低系統(tǒng)性能，問題變成“在電視上運(yùn)行安全軟件是否意味著Netflix會卡頓，這將影響智能電視安全解決方案的普及”。

　　斯科特•吳表示，至少Android的授權(quán)模式，能限制在沒有獲得用戶明確批準(zhǔn)的情況下應(yīng)用的功能，從而限制了惡意應(yīng)用在智能電視上興風(fēng)作浪的能力。但用戶可能愚蠢地?zé)o視警告信息，繼續(xù)觀看電視節(jié)目。

　　克萊格•揚(yáng)指出，與智能電視有關(guān)的問題同樣會影響大量所謂的物聯(lián)網(wǎng)設(shè)備，專家擔(dān)心物聯(lián)網(wǎng)設(shè)備會受到攻擊。

　　Computerworld指出，部分公司利用能夠監(jiān)測網(wǎng)絡(luò)上異?，F(xiàn)象的新產(chǎn)品而非反病毒軟件解決這一擔(dān)憂。例如，F(xiàn)-Secure的Sense和Dojo-Labs的產(chǎn)品，能監(jiān)測家庭網(wǎng)絡(luò)上許多設(shè)備的流量，從中發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的蛛絲馬跡?？巳R格•揚(yáng)說，“很顯然的是，業(yè)內(nèi)人士在考慮這一問題。”