Умные телевизоры открывают киберпреступникам новое окно возможностей для совершения атак. По темпам укрепления безопасности эти устройства заметно отстают от смартфонов и настольных компьютеров.
Умные телевизоры, работающие под управлением мобильных операционных систем (например, Android), представляют собой легкую цель для хакеров, поскольку производители зачастую приносят безопасность в жертву пользовательскому удобству. И этот компромисс может иметь весьма серьезные последствия.
Следует учитывать, что умные телевизоры выпускаются не только в расчете на индивидуальных потребителей. Довольно часто подобные устройства можно встретить и в зале заседаний совета директоров. По прогнозам аналитиков Research and Markets, в период до 2019 года продажи умных телевизоров будут расти более чем на 20% в год.
Пока атаки на умные телевизоры еще не получили достаточно широкого распространения, однако, по мнению экспертов по безопасности, это всего лишь вопрос времени.
«Во многих таких продуктах лучшие решения, уже известные в мире ИТ, не используются, – отметил директор компании Tolaga Research по исследованиям Фил Маршалл. – Экосистема фрагментирована, а производители в первую очередь озабочены тем, как максимально быстро вывести новые предложения на рынок».
По сути, умные телевизоры представляют собой компьютеры, оснащенные портами USB, операционными системами и сетевыми интерфейсами. И в этом смысле они ничем не отличаются от смартфонов. Но, в отличие от компьютеров и мобильных устройств, подключение к умным телевизорам не требует аутентификации.
«Некоторые модели умных телевизоров не требуют подтверждения команд, рассылаемых по сети, человеком, который физически управляет телевизором», – заметил Крейг Янг, исследователь вопросов компьютерной безопасности из компании Tripwire.
А это означает, что во время совещания на экране телевизора вполне может появиться нечто гораздо более фривольное, чем последние цифры продаж.
«Когда в зале заседаний совета директоров проводится презентация, возможны самые разные неожиданности и неловкие ситуации», – подчеркнул Янг.
Многие крупные производители – Samsung, LG и Sony – уже открыли магазины приложений для умных телевизоров и продолжают придерживаться модели, предложенной Apple для своих смартфонов. Но пользователи могут поддаться соблазну загружать программы (в том числе и вредоносные) из магазинов, не контролируемых поставщиками. Такой способ атак уже применяется против смартфонов и вполне может быть использован против умных телевизоров.
Исследователь угроз из Symantec Кандид Вуист в процессе испытаний намеренно заразил свой телевизор Android программой, которая шифрует файлы и требует выкупа в биткойнах.
В ходе эксперимента Вуист изменил настройки своего маршрутизатора, имитируя атаку типа «человек посередине», после чего установил на телевизор вредоносный код, полученный из сомнительного источника. Такая ситуация вполне возможна и отнюдь не выходит за рамки возможностей хакеров.
Многие из существующих уязвимостей связаны с процедурой обновления программного обеспечения умных телевизоров. Шифрование SSL/TLS (Secure Sockets Layer/Transport Layer Security) при загрузке обновлений зачастую вообще не используется.
В результате в телевизор проникают вредоносные прошивки – низкоуровневый код, устанавливающий связь между компьютерным оборудованием и операционной системой при ее запуске. Некоторые модели умных телевизоров не проверяют даже целостность загружаемых прошивок.
«Вопросам безопасности умных телевизоров не уделяется сегодня должного внимания, и решаются они в самую последнюю очередь», – признал Вуист.
Число проблем растет по мере того, как умные телевизоры интегрируются с системами электронной коммерции, а люди все чаще вводят в телевизор информацию своих платежных карт.
«В 'черную пятницу' моя жена любит совершать покупки прямо по телевизору, – сообщил Скотт Ву, основатель компании 0xID, специализирующейся на безопасности мобильных устройств. – Сегодня нередко в телевизоре присутствует конфиденциальная финансовая информация его владельца».
На умных телевизорах нет антивирусных программ, и, даже если они появятся, его потенциальная эффективность вызывает вопросы.
«Как ни крути, а антивирусы всегда снижают общую производительность системы, – подчеркнул Янг. – Готовы ли вы смириться с тем, что при трансляциях с Netflix картинка будет отображаться рывками?»
В среде Android существующая модель разграничения доступа не позволяет приложениям делать все, что они захотят, без явного разрешения пользователя. Впрочем, многие беспечные пользователи попросту игнорируют предупреждения.
По словам Янга, умным телевизорам сегодня приходится сталкиваться с проблемами, которые касаются широкого круга других интеллектуальных цифровых устройств, подключенных к сети и образующих Интернет вещей.
Некоторые разработчики пытаются предложить выход из положения с помощью специализированных продуктов, выявляющих аномалии в сети, и не прибегают к помощи полнофункционального антивирусного программного обеспечения. К примеру, инструментарий F-Secure Sense, как и аналогичный продукт Dojo-Labs, осуществляет мониторинг трафика домашней сети в поисках признаков несанкционированных действий.
«Мы видим, что специалисты не сидят сложа руки и ищут пути уменьшения возникновения рисков», – отметил Янг.