瑞士资安业者Oneconsult上周公布一段YouTube影片,展示如何以恶意广播讯号骇进智能电视,并宣称去年市场上所销售的9成智能电视都有被骇风险。
打造相关攻击概念性验证程序的是Oneconsult的渗透测试暨安全研究人员Rafael Scheel,他利用便宜的发射器发射出内含恶意命令的电视讯号,以企图感染周边采用含有漏洞之浏览器的智能电视,一旦成功入侵,就可自远程取得智能电视的最高权限,并藉由电视机的摄影机或麦克风监控用户,或是进而攻击家中其他的智能装置。
可怕的是,就算是用户重开电视机或是回复出厂默认,感染依旧在,而且Oneconsult估计去年市场上所销售的智能电视中,高达9成含有被骇风险。
Scheel用来实验的两台智能电视都是来自三星电子,虽然相关攻击程序可能得因电视机内建之浏览器的不同而必须修改,但理论上绝大多数的智能电视都可被攻陷。
不过,由于Scheel的攻击示范仰赖地面数字视频广播(Digital Video Broadcasting-Terrestrial,DVB-T)标准,该规格主要用于欧洲及包括台湾在内的特定市场,北美则是使用ATSC,日本使用ISDB,因此Oneconsult所谓的9成应该单指欧洲市场而言。
此一研究早在今年2月由欧洲广播联盟(European Broadcasting Union,EBU)所举办的媒体网络安全研讨会中发表,而Oneconsult则在上周透过YouTube发布,藉以唤起业者与市场对物联网(IoT)装置安全性的重视。
