Amerikaanse beveiligingsonderzoekers hebben meerdere beveiligingsproblemen in Smart-tv’s van Samsung gevonden, waardoor ze onder meer de camera van de televisie konden aanspreken. Daarmee zou het mogelijk zijn geweest om op kijkers te spioneren.
Alle Smart tv s van Samsung waren kwetsbaar, zo zegt een van de onderzoekers, Aaron Grattafiori, tegenover Tweakers op de Black Hat-beveiligingsconferentie in Las Vegas. “Inmiddels zijn de meeste beveiligingsproblemen gepatcht, behalve een aantal ontwerpfouten”, aldus Grattafiori, die toevoegt dat het niet moeilijk was om de fouten te vinden, maar dat het maken van een exploit wel enige tijd kostte.
In totaal vonden Grattafiori en zijn mede-onderzoeker, Josh Yavor, vijftien kwetsbaarheden in de Smart-tv’s van Samsung. De onderzoekers leunden op het feit dat Smart-tv’s van Samsung applicaties van derden kunnen draaien. Die applicaties moeten worden geschreven in javascript, maar het bleek mogelijk om eigen c++-code aan te roepen door een elf-binary aan te roepen.
Door eigen code te injecteren konden de onderzoekers onder meer de camera-api aanroepen; daarvoor was het draaien van c++-code niet eens vereist. De onderzoekers maakten enkel een proof-of-concept waarin de beelden van de camera slechts werden getoond, maar volgens hen is het met iets meer moeite ook mogelijk om de beelden te streamen naar een externe server. Hoewel het probleem is opgelost, adviseren onderzoekers bezitters van een Smart-tv om de camera van de tv af te plakken. Verder konden de onderzoekers alle bestanden die op de tv stonden uitlezen, evenals bestanden op verbonden netwerkschijven, zoals foto’s en video’s.
De onderzoekers slaagden erin om vanuit meerdere applicaties code te injecteren, waaronder de Skype-applicatie. Kwaadwillenden konden code injecteren door hun status-update te wijzigen: alle code die in de status-update werd ingevoerd, werd door de Samsung-tv als javascript gerenderd. Dat kon ook vanuit chatgesprekken. “We hebben gekozen om onderzoek te doen naar Skype, omdat Skype perfect is voor gebruik met een Smart-tv”, aldus mede-onderzoeker Yavor. Facebook en andere sociale media leunen op het invoeren van tekst, wat op een Smart-tv omslachtig kan zijn.
Ook vanuit de browser bleek het mogelijk code te injecteren, door code toe te voegen aan een url. Normaliter accepteert de browser dat niet, maar wel als de code wordt toegevoegd achter het ‘#’-teken. Tot slot bleek het mogelijk om via de download-api van de tv bestanden te uploaden – iets dat de onderzoekers opmerkelijk noemen – maar daarvoor is het nodig om via het netwerk verbinding te kunnen maken met de tv, waarvoor de aanvaller zich waarschijnlijk in hetzelfde netwerk zal moeten bevinden.
Bron : Tweakers
Dit artikel is meer dan 8 jaar oud - waarschijnlijk is deze informatie niet meer relevant of van toepassing.
Comments