Durante el mes pasado ya anunciamos unos problemas de seguridad como el robo de datos en los dispositivos usb conectados al televisor. Ahora vamos a entrar un poco más en detalle estos problemas ya que es uno de los televisores inteligentes más vendidos.
Este año pasado se han vendido más de 80.000.000 de televisores inteligentes y este año se cree van a se más. Otras marcas conocidas de televisores inteligentes son LG y Sony, que empiezan a dejarse ver en este mercado en auge.
Posiblidades de ataque
- Desde los programas disponibles en la tienda virutal hay la posibilidad de infectarse con malware.
- La navegación por internet por páginas infectadas con scripts que atacaran debilidades del televisor.
- Desde unidades USB infectadas con malware.
Análisis del sistema operativo
Han usado un Linux modificado por ellos para adaptarlo a las necesidades de sus televisores inteligentes. Después de un análisis se ha visto que las distintas tareas se ejecutan en modo administrador, o sea que, todo lo hace utilizando root, cosa que podría llevar a cabo un problema de seguridad ya que no hay jerarquía de permisos para aislar las funciones y llamadas al sistema más críticas.
PID USER VSZ STAT COMMAND
1 root 1688 S init
2 root 0 SW [kthreadd]
3 root 0 SW [ksoftirqd/0]
4 root 0 SW [migration/0]
5 root 0 SW [migration/1]
6 root 0 SW [ksoftirqd/1]
7 root 0 SW [events/0]
8 root 0 SW [events/1]
9 root 0 SW [khelper]
10 root 0 SW [async/mgr]
11 root 0 SW [sync_supers]
12 root 0 SW [bdi-default]
13 root 0 SW [kblockd/0]
14 root 0 SW [kblockd/1]
15 root 0 SW [kmmcd]
16 root 0 SW [kdtvlogd]
17 root 0 SW [kswapd0]
18 root 0 SW [xfs_mru_cache]
19 root 0 SW [xfslogd/0]
20 root 0 SW [xfslogd/1]
21 root 0 SW [xfsdatad/0]
22 root 0 SW [xfsdatad/1]
23 root 0 SW [xfsconvertd/0]
24 root 0 SW [xfsconvertd/1]
25 root 0 SW [mmcqd]
37 root 1692 S -/bin/sh
58 root 1692 S /bin/sh /mtd_exe/rc.local
67 root 1502m S ./exeDSP
88 root 0 SW [aeMsgTask]
149 root 0 SW [khubd]
247 root 0 SW [flush-179:0]
256 root 17692 S /mtd_cmmlib/BT_LIB/bsa_server -all=0 -diag=0 -hci=0
265 root 0 SW [usbhid_resumer]
458 root 234m S /mtd_appdata/Runtime/bin/X -logfile /mtd_rwarea/Xlog
579 root 486m S /mtd_appdata/InfoLink/lib/WidgetEngine 67 51982
657 root 16632 S HAControl 37039 -1
678 root 0 SW [scsi_eh_0]
679 root 0 SW [usb-storage]
709 root 0 DW [scsi-poller]
880 root 0 SW [RtmpTimerTask]
881 root 0 SW [RtmpMlmeTask]
882 root 0 SW [RtmpCmdQTask]
883 root 0 SW [RtmpWscTask]
1047 root 1688 S udhcpc -i ra11n0 -t 5 -T 5 -b
1067 root 3684 S N /mtd_exe/Comp_LIB/UEP.b
1075 root 10680 S ./MainServer /mtd_rwarea/yahoo
1079 root 10072 S ./PDSServer
1080 root 18656 S ./AppUpdate com.yahoo.connectedtv.updater
1112 root 18956 S ./BIServer com.yahoo.connectedtv.samsungbi
1133 root 361m T /mtd_down/emps/empWebBrowser/bin/BrowserLauncher
1368 root 9592 S Download 42060 -1
Observamos en el texto anterior como cualquier aplicación se usan bajo permisos de root. Los programadores de Samsung intentan prevenir ésto colocando los archivos y los generados de la ejecución de estos en una sandbox permanente de la cual, es imposible de abandonar.
Errores en API y en las aplicaciones por defecto
El problema de seguridad que tiene la ejecución de las aplicaciones como root, es que si las API del televisor tienen fallos de seguridad, pueden usarse para escapar de las sandbox y conseguir afectar al sistema de ficheros del sistema operativo. A parte si las aplicaciones que vienen de fábrica tienen un fallo de seguridad, el fallo de seguridad proporcionaría al atacante la posibilidad de de extraer el código de comprobación de estas aplicaciones para escapar de la sandbox y así ser utilizado para que las demás escapen.
No debemos entonces olvidarnos las actualizaciones de firmware del televisor muy importantes pero que no tienen ningún tipo de comprobación a las modificaciones de terceros.
Smart TV es un tipo de dispositivo muy novedoso y práctico, pero es necesario que mejore bastante en lo que hace referencia a la seguridad ya que sino va se convertirá en un blanco para hackers y ciberdelincuentes.
No hay comentarios:
Publicar un comentario