Potraficie sobie wyobrazić telewizor, który nagle zmieni wizualizowaną paletę kolorów, pomyli kanały, albo napisze, że nie chce mu się już pracować? Brzmi abstrakcyjnie, ale w obecnej sytuacji wcale nie jest niemożliwe. Gdy coraz więcej telewizorów pozwala na korzystanie z Internetu, ewentualne pytanie, dotyczące wprowadzenia złośliwego kodu do odbiornika i do domowej sieci pytanie nie powinno brzmieć „czy”, ale raczej „kiedy”...
Amerykańscy specjaliści od zabezpieczeń z firmy Mocana przeprowadzili serię testów penetracyjnych na telewizorach pewnej z firm (jest nazwa nie zostanie ujawniona do czasu aż załata wykryte podatności), dysponujących możliwością podłączenia do Internetu. Mocana twierdzi, iż jej testerom udało wstrzyknąć złośliwy kod do systemu, dzięki czemu telewizor mógł wykonywać zadania, zlecone mu przez włamywacza, np. przekierować ruch na stronę phishingową, udającą jeden z serwisów dostępnych w telewizorze. Włamywacz mógł także ukraść hasła do serwisów, do których logował się użytkownik telewizora, a nawet przesyłane czystym tekstem hasło serwisowe (za jego pomocą można wyłączać funkcje odbiornika)! Dokładny raport z testów można przeczytać tutaj.
Powiecie: „Co z tego, że otworzę stronę phishingową, przecież to tylko telewizor!”. Zgoda, ale zazwyczaj nie są to jedyne urządzenia w domu, podłączone do Internetu. W tej sytuacji, gdy wstrzyknięty skrypt przekieruje nasz telewizor na przestępczą stronę, może się tam znajdować złośliwe oprogramowanie, którego jedynym celem nie jest wcale zarażenie telewizora, ale naszej domowej sieci! No bo kto zabezpiecza przed atakami telewizor?
Oczywiście ataki na „zjadacza czasu” nie staną się tak szybko popularne – tak, jak w przypadku ataków na smartfony, eskalacja poziomu zagrożenia poza fazę „proof-of-concept” wymaga chociażby pewnej masy krytycznej urządzeń zainstalowanych w domach, a także dostosowania specyfiki ataków na masową skalę do nieco innego modelu użytkowania takiego sprzętu. Pewne jest jedno – w przyszłości tzw. „parcie na szkło” może przestać być przez scenę „security” odbierane negatywnie :)
A tymczasem, biorąc pod uwagę, iż publikuję ten wpis 23 grudnia, chciałbym w imieniu swoim i pracowników Departamentu Zarządzania Bezpieczeństwem Systemów Teleinformatycznych, życzyć Wam bezpiecznych – a jakże – i spokojnych świąt, przepełnionych ciepłą rodzinną atmosferą. A przypatrując się specjałom na świątecznych stołach pamiętajcie, że żołądek nie ma firewalla :)
Źródła: The Register, Mocana
Wojtek Jabczyński 
Rafał Jaczynski 
Marek Wajda