20 Febbraio 2017
Di recente si è parlato molto degli Smart TV e delle relative falle alla sicurezza. Il caso riguardava gli strumenti (Weeping Angel) sviluppati dalla CIA per poter spiare gli utenti tramite la dotazione (microfoni e quant'altro) fornita dai moderni televisori. La pericolosità per l'utente comune era comunque ridotta, poiché per poter prendere il controllo dei prodotti era necessario operare fisicamente sugli stessi. A riportare in auge la tematica è stato il ricercatore Rafael Scheel, esperto di sicurezza per Oneconsult. Il problema sollevato e dimostrato da Scheel appare molto più concreto e potenzialmente ben più preoccupante.
Al centro di tutto c'è lo standard HbbTV (Hybrid Broadcast Broadband TV), utilizzato per fornire l'interattività dei contenuti e per integrare servizi IPTV all'interno delle trasmissioni televisive. Con un semplice trasmettitore DVB-T (si può realizzarne uno con 150 dollari di spesa) è possibile inviare un segnale che replica quello delle normali trasmissioni televisive. I TV sono progettati per "agganciarsi" automaticamente al segnale più forte e quindi un trasmettitore "fatto in casa" sarebbe in grado di collegarsi a molti TV presenti nelle sue vicinanze (il segnale sarebbe più forte di quello del ripetitore).
Lo standard HbbTV, veicolato tramite il segnale DVB-T malevolo, può contenere il comando di connettersi ad alcuni siti web in background (quindi senza che l'utente se ne possa accorgere). E' a questo punto che parte l'attacco vero e proprio. Scheel ha utilizzato due vulnerabilità per ottenere il controllo degli Smart TV. La prima è quella legata alle vicende che hanno visto coinvolto l'Hacking Team. Si parla quindi dell'exploit CVE-2015-3090 relativo a Flash.
Molti TV non supportano Flash: la vulnerabilità non avrebbe quindi effetto su questi modelli. La seconda vulnerabilità utilizzata da Scheel risolve proprio questa limitazione. Si sfruttano falle del browser integrato per ottenere i permessi necessari alla modifica del firmware. In sostanza si raggiunge lo stesso risultato conseguito con l'exploit di Flash anche su TV che ne sono sprovvisti. Secondo Scheel questo approccio è conveniente per via dell'omogeneità data dalle piattaforme Smart TV, piuttosto simili tra loro anche su modelli diversi e con non troppe variazioni da un anno all'altro (le variabili sono molte di più per i computer). Non occorre quindi creare tantissime versioni degli strumenti necessari all'inserimento del codice malevolo.
Ad aggravare il problema è (sempre secondo il ricercatore) la gestione degli aggiornamenti, non sempre lineare e tempestiva, motivi per cui alcune vulnerabilità restano irrisolte per anni (o per sempre). Una volta portato a termine l'attacco, chi lo ha perpetrato può ottenere vari tipi di informazioni, dall'accesso al microfono integrato alle informazioni archiviate all'interno dei TV, può creare reti di bot per attacchi DDOS e può attaccare la rete internet domestica o aziendale. A rendere pericoloso questo scenario sono soprattutto due aspetti. Il primo consiste nel fatto che non è necessario accedere fisicamente al TV per ottenerne il controllo. Il segnale viene inviato da un trasmettitore che si trova nelle vicinanze e può colpire tutti i TV che si trovavo entro il suo raggio. Il secondo aspetto riguarda la tracciabilità dell'attacco: il segnale inviato tramite lo standard HbbTV è uni-direzionale, quindi non c'è uno scambio di informazioni che permetta di risalire a chi lo ha inviato. L'unico modo di scovare il colpevole è rintracciarlo in tempo reale, mentre sta ancora inviando il segnale. Una volta conclusa l'operazione è praticamente impossibile capire da dove sia partito l'attacco e chi lo abbia eseguito.
In merito alla sicurezza di HbbTV, Scheel ha dichiarato:
Ritengo davvero pericoloso utilizzare un segnale non certificato per fare qualcosa di importanza così critica. Nel campo della website security inviare la chiamata ad un sito web differente sarebbe classificato come una vulnerabilità.
Quanti sono quindi i prodotti potenzialmente vulnerabili ad un simile attacco? Secondo Scheel si parla di almeno il 90% dei modelli venduti nel corso degli ultimi anni. La presentazione completa dello studio è contenuta in questo video:
Commenti
:)maledetto geoip
:)
no si chiamava propio video cast con icona blu e ha diverse versioni per ogni tv piu o meno,pero niente sul browser non ci sono riuscito
Credo tu ti riferisca a Vget e purtroppo anche questo non fa quello che promette.
no niente ho lottano una sera da un amico e niente,ma sul sito dicono che ce anche per il browser ma non forse non e piu sopportato ,alla faccia delle estensioni
Ahhh ma sai che forse l'app Video Web Cast ha proprio questa funzione?!
Giustamente per tutti quei servizi che non hanno la relativa app si può usare questa soluzione.
No.
Clicchi suo video e invii alla tv senza toccare il telecomando.
DLNA/UPNP si chiama.
La cosa assurda è che su PC non esiste nulla di simile. Davo per scontato che esistessero un botto di estensioni che facessero questo "enorme" sforzo di mandare il link del video alla Chromecast ma nulla. Funzionano tutte in modo strano, tipo aprire il video in un secondo tab, e nessuna funziona al 100%.
Tu hai trovato qualcosa?
Io sono abituato all'estensione cast ergo tutte le app compatibili presentano la relativa icona sullo smartphone che consente di mandare il video alla TV.
Sicuramente con le altre SmartTV puoi condividere il link ma non credo abbiano la stessa immediatezza. Cioè, in realtà condividi la pagina e poi con il telecomando della Tv fai partire il video. Giusto?
azz... hanno fatto un bel lavoro con ste TV, credi di mettere la rete al sucuro e poi...
???
Ma smartTV è un termine generico che indica la possibilità di connettersi alla rete e condividere contenuti.
Samsung ha Tizen... ma sempre smartTV è.
«There is nothing wrong with your television. Do not attempt to adjust the picture. We are now controlling the transmission. We control the horizontal and the vertical. We can then you too with thousand channels or expand one single image to cristal clarity and beyond. We can shape your vision to anything our imagination can conceive. We will control all that you see and you hear.
You are about to experience the awe and mystery witch reaches the deepest in your mind to the outer of limits.»
Ed infatti ho scritto che solo le Android Tv supportano l'estensione Google Cast. Le AndroidTv sono Smart Tv.
Possono accedere a tutti i dati memorizzati (ad alcuni servizi sono associate carte di credito), possono trasformare il TV in un bot per attacchi DDOS e possono tentare di usare il TV per bucare la rete locale.
vabbe ma se non cè ne microfono ne webcam che controllano i canali ?
Beh se preferiscono buttarne 30 su una Chromecast si
sono ottime, hanno un input lag abbastanza basso anche per giocare con le console senza rischiare di vomitare :D
Hai detto parliamo di gente senza soldi,non girare la frittata
No... lo puoi fare anche su una smartTV nanche se non hai Chromecast.
E non sono smart...?
TV 4K non vuol dire che siano TV buone.
La risoluzione non ne giudica la qualità.... come quelle TV 4K 55" da 800€... cioè davvero meglio una vecchia, ma buona TV FHD, con Chromecast.
Santocielo ragazzi... ma state messi proprio senza una lira.
Ma lavorate?
O state a fare l'elemosina?
ieri, utilizzando google e collegandosi al sito kodi . tv si otteneva un messaggio di errore. Cercando la pagina (sempre ufficiale) di download invece, si leggeva un avviso in stile fbi, come se il sito fosse posto sotto sequestro. Oggi invece il sito ufficiale è ritornato online. boh.
Allora prende un fire stick e risparmia anche i soldi dello smartphone o tablet per il chromecast
Appunto: visto che sei costretto a comprare uno Smart TV se vuoi la qualità, non è difficile capire che i TV tradizionali sono peggio, grazie per avermi dato ragione :).
Se dici che dispositivo hai magari è meglio;)
Puo essere un conflitto o aggiornamento del router modem e ha cambiato impostazioni
non è difficile da capire.
1) Le TV smart sono totlamente insicure.
2) Se vuoi una TV di qualità sei costretto a comprare una TV smart
3) NON CONNETTERLE.
4) PUNTO.
Anche a me non sembra difficile da capire la frase a cui ho risposto "Meglio le tv tradizionali".
Cosa c'entra che uno Smart TV posso non connetterlo? Assolutamente niente.
"puoi scegliere di non connetterlo tanto per cominciare."
non mi sembra una frase difficile da capire
Il fatto è che non c'è bisogno di nessun contributo. Basta cercare Kodi su Google. Mah
In fascia media non ci sono :).
Solo fascia bassa.
Sì che è un altro discorso: i TV non smart sono peggio, non meglio degli altri e non c'è scelta al momento dell'acquisto, prendi la parte "smart" anche se non la vuoi, se non ti accontenti di prestazioni di basso livello.
Se poi arrivato a casa non colleghi il TV alla rete, quella è una tua scelta ma hai già comprato un modello con quelle caratteristiche.
è uno dei casi riportati dall'articolo...
Flash in ogni caso ha un elenco di vulnerabilità lungo oltre 20 anni, in numero tale da far concorrenza ad intero OS, pur essendo solo un'applicazione.
Anche se fosse supportato solo da TV di 5 anni fa, avevano avuto 15 anni di pregresso da analizzare per capire che era in pratica un virus sotto mentite spoglie
"Questo è un altro discorso"
non è un altro discorso.
Preso atto che i produttori sono incapaci e/o menefreghisti riguardo alla sicurezza, il loro device non va connesso.
Cambiando il gateway non si connette più (a meno che tu non abbia due router il che è molto difficile), quindi direi che è andato in palla e ha ripristinato qualche config predefinita
Cos'è Windows
Io uso le tv led 4k...non smart :D
Ci sono ci sono, fino alla fascia media xD
Io uso chromecast
grazie per il tuo prezioso contributo. saluti a casa.
grazie mille!!
grazie mille!
Ce francia Germania,e non tutti vviamo con Netflix:)
Ma chi c@zzo li conosce LOL
Fatti vedere da uno bravo, hai problemi Seri....
Ma Google lo conosci?
Scusate, io mi sono ritrovato l'indirizzo IP del mio sony KDL-40EX521 completamente modificato in tutte le sue componenti (indirizzo IP, Subnet Mask, Gateway predefinito, DNS primario e secondario), peccato solo che non mi sono segnato l'indirizzo IP modificato.
Può essere che sono incappato in questo problema?
Ps.
Speriamo non ricapiti.
Che il futuro del'IoT e del tutto connesso passerà anche per questi attacchi sembra scontato, anche se a me stupisce che se gli serve per bloccare dei diritti si inventino e ricerchino DRM per criptare il segnale, uno "standard" del futuro sia così bucabile.
Strano mondo.
Cmq anche io avrei preferito box esterni alle smatTv o come si è rumoreggiato per qualche periodo, schede interne PCMCIA, quello sarebbe stato perfetto, una vera rivoluzione.
Se vuoi puoi scaricarlo dallo store per avere un programma in sandbox e possibilità di aggiornarlo senza installer
Io lo ho sempre scaricato dal sito ufficiale
Ad ognuno il suo. Io ad esempio vi faccio ricorso prevalentemente per gli anime in contemporanea col Giappone, anche perchè tra Netflix, TimVision, SkyGo (che ha una qualità disgustosa) e Prime sono abbastanza coperto per il resto.
Ti dirò che un film ogni tanto ci è scappato e, anche se con fattori di compressione tosti, la qualità è abbastanza soddisfacente in fullhd.