Red Button Flaw Macht wichtigsten Sicherheitslücke in Millionen von Smart TVs bekleidet
09.06.2014 11:01Red Button Flaw Macht wichtigsten Sicherheitslücke in Millionen von Smart TVs bekleidet
Es ist 09.30 Uhr An einem Sonntag in einem anderen York City gekleidet. Bleibe im bekleidet in ihren Wohnungen in der Region Inwood von Manhattan bekleidet ordnen ihre Klimaanlagen Strahlen und nicht den leichten Surren der beiden Drohnen schwimm 35 Geschichten in der Luft außerhalb bekleidet hören. Sie sind auf der Couch vor dem Kap Leute, Ente Linie, oder aber die tugendhafte Frau auf ihrem weiteren internetfähigen Flachbild-TVs.
Abfuhr Einzel sieht den Hack anhängig. Die Drohnen, vom Dach eines hohen Wohnhaus ins Leben gerufen, ordnen eine Kupplung von elektronischen Geräte an Bord mit dem Ziel, können eingehende digitale Sendungen zu erfassen, zu injizieren eine Spur von Schadcode auf den Datenteil des Baches, und senden Sie es zurück auf der gleichen Frequenz betäubt.
Innerhalb einer oder auch zwei Miniatur, sind die Bewohner "Drucker spuckt benommen nicht benötigt Coupons und gefälschte Rinde Rinde 0,35% Bewertungen und Facebook-Beiträge werden mit ihren Login-Daten gebildet. Ohne etwas Zeichen oder anderen Zeichen von Vandalismus, intelligente Fernsehgeräte eines Gesamt Nachbarschaft arrangieren beeinträchtigt wurde. Die zu Ihrem Haus Besitzer nicht wissen, dass es noch nicht, aber die Hacker bereits Rühren tiefer in die zu Ihrem Haus, Sniffing für unmerklich oder auch anfällig WiFi Router und PCs mit dem Ziel, könnte angebracht sein soll. Die Hacker können rund um die gleichen wie lauern verlängert die gleichen wie Abfuhr einzelnen Windungen ungenießbar den Platz oder auch den Kanal wechselt, und während die Hacker sich entscheiden, es zu verbreiten Abfuhr Weg, um ihre Schritte nachzuvollziehen.
Dieser Fehler hinter dieser "Red Button Angriff", aus dem Grund, dass der roten Taste auf Fernbedienungen mit dem Ziel der so genannten gewöhnlichen steuert interaktive Fernsehen Hautstruktur, hat in keiner Weise in Print-oder anderes gewesen. Es kann gut einen Schraubenschlüssel in die interaktive Träume von der TV-Industrie zu werfen. Die Schwachstelle betrifft leicht Marke von Smart-TV mit dem Ziel, mit dem anderen HbbTV-Standard (kurz für Hybrid Broadcast-Breitband bestimmt), die weit verbreitet bekleidet in Europa kompatibel ist verkauft (90% der auf dem deutschen Markt ist überdacht und Millionen von Sätzen zu arrangieren gewesen erhältlich). Es ist am Rande des Berg Annahme in den USA bekleidet Das gleiche wie es vor kurzem verwendet NTSC Werte in Nordamerika bekleidet aufgenommen.
Rundfunkanstalten und Werbe arrangieren eifrig gewesen, ins Spiel zu bringen, um das HbbTV anderen Anzeigen gezielt und fügen interaktive Inhalte, Umfragen, Shopping und Anwendungen, um Ihr Haus Zuschauer. Aber Millionen von Fernsehgeräten wäre anfällig für Hacker mit der Messe Getriebe, das gleiche wie verlängert die selben wie die Sätze liegen erhalten ein Over-the-Air-Digitalrundfunk Warnzeichen. Ein wenig 30% aller Smart-TV-Sets sind nicht angeschlossen an das Internet gekleidet.
Der Fehler war offen von Yossi Oren und Angelos Keromytis von der Seite der Columbia University System Security Lab und wird in gedruckter Form in einem Papier von der Seite des USENIX Sicherheitsseminar in bedeutenden gekleidet gekleidet. Oren und Keromytis berichteten ihre Ergebnisse und zeigte eine Aufnahme auf Band, von einem Angriff im Gange, um die HbbTV-Werte im Dezember Körper bekleidet bekleidet, wurden aber einen Monat, mit dem Ziel eines solchen Angriffs wurde gesagt, bald nicht schmucklos aus, um die Änderung der Standard-Verdienst. Der Vorstand dachte der Angriff würde zu viel und nicht für ausreichende Verweilzeit in kosten das gleiche wie kosteneffizient die gleiche wie eine normale Festnetz-Hack befinden.
Nicht so, sagt Oren. Ein Hacker mit einem $ 250 1-Watt-Verstärker kann gut decken einen offenen Bereich 1,4 km-Bereich. Oren abgebildet weitere York Nachbarschaften durch die Bevölkerungsdichte mit den Standorten der immensen digitalen Rundfunkantennen überlagert. Durch die Positionierung der Weiterverbreitung Gang durch die Seite von einem anständigen Höhe innerhalb der Sichtlinie von einem Turm (auf Murren, sagen wir, oder auch auf dem Dach eines Hochhauses), ein Hacker in Flushing bekleidet, Queens kann gut vermitteln böswillige Nutzlasten über die zu Ihrem Haus Einkaufssystem zu einem der Zeug Publikum von 70.000 Stück Verweilzeit in offenen Bereich Kilometer. Oder er kann auch zusätzlich Übernahme 10 verschiedenen Stationen zusammen mit CBS CBS 0,22%, NBC und hinters Licht aus einer Projektion in der Inwood Region besser Manhattan mit dem Ziel der Reichweiten 50.000 Stück Verweilzeit in offenen Bereich Kilometer gekleidet. Mit einer anderen leistungsstarken 25-Watt-Verstärker (ca. $ 1.500) kann der Hacker wie andere 35 Kilometer offenen Bereich abdecken, wobei die ergattern des Angriffs in die Hunderttausende wohnen in. Eine noch andere vernünftige und gut finanziertes Team von cyberthieves kann gut ausführen große Verletzung, eine Beeinträchtigung der Gesamtstadt oder auch Stadt, wenn sie in der Lage, physisch in zentralen Verwaltungszentrum eines Kabelgesellschaft splice waren.
Die Tage vor der Zeit von Kabel-TV Red Button kann Superlative Denken der gleiche wie eine klassische "man-in-the-Middle"-Angriff, oder auch eine besonders heimtückisch, Nachkomme der Warnzeichen Injektionen befinden. Folks waren Unfug, wie die tun gut Headroom Vandalismus. Die heutigen Fernseher sind für die Unternehmen, zu Ihrem Haus-Netzwerke und soziale Websites und Anwendungen mit dem Ziel, auf eine Hacker-net tiefer in Anwesenheit Hausbesitzer und reine Sicherheits Zeiger verbunden vielfältigen direkten beabsichtigten. Verzeihen? Zusätzlich macht Red Button heimtückisch ist, mit dem Ziel der Malware notwendigerweise in einem kompromittierten Kanal laufen während ein Betrachter Melodien und läuft vollständig im Hintergrund ohne das Verständnis oder auch Zustimmung des Fernseh Ort Inhaber gekleidet. Und der Angriff ist nicht mehr auffindbar, aus dem Grund, dass die Hacker in keiner Weise präsentiert sich im Internet mit einem Quell-IP in die Hand nehmen oder auch DNS-Oberkellner. Die Art und Weise nur für die Strafverfolgung auf eine unseriöse Sendung bestimmt stolpern zu senden, ist benommen mehrere Fahrzeugantennen, die Warnzeichen zu triangulieren. Ein Hacker kann auch angeordnet werden verlängert bis eingesetzt oder aber noch Leute Lkw auf die Straße zu kommen.
Red Button nutzt zwei Sicherheitslücken in der HbbTV-Standard gekleidet. Einzelne wird von der Wahrheit mit dem Ziel der Software verursacht werden oder auch Inhalte eingebettet in der HbbTV-Broadcast Bach bekleidet ist nicht verbunden in leicht Weg zu einem Nettooberkellner bekleidet und wie so hat Abfuhr implizite Herkunft "Die Auswirkungen auf die Sicherheit dieser ist erschütternd" sagt Oren, und es im Gegensatz zu einer ungekünstelt Netzsicherheit Prototyp berühmten das gleiche wie Same-Origin-Dokument geht. Beide Mitglied der Nettogehalt verzeihen? Berühmt sind die gleichen wie ein Schema, einem Host und einer Dockingstation und zwei Fonds sind eingeschränkt in ihrer Ankündigung bekleidet speichern sie den gleichen Ursprung haben. Dies ist um Verzeihung? Hält Inhalte einzigen Ort stören die Handlung eines alternativen Ort. Während eine HbbTV-App aus dem Internet durch seine URL heruntergeladen wird, wird die Herkunft offen von der URL definiert und es kann nicht mit dem Netz stören von der Seite der großzügig proportioniert. Aber während die App verschlüsselt in einer Broadcast-Daten bekleidet rivulet es von der Herkunft abgestreift. Es erhält seine eigene Herkunft etwas Domain Anruf zu kennzeichnen. So ein Hacker kann auch eine Übernahme Bach und die Einführung einer bösartigen App mit dem Ziel, die Fernsehen kontrollieren, sondern fordern es von Facebook. Der Angreifer kann auch nachträglich anordnen das Fernsehen machen Facebook, um Ihr Haus Stück Papier in einem zu klein bekleidet auf Null großen Rahmen, aus dem Internet heruntergeladen zu sehen. Wenn der Benutzer angemeldet war bei Facebook bekleidet der Hacker im Handumdrehen hat rappelvoll Kontrolle der Hausbesitzer übereinstimmen.
In der Nähe gibt kaum Möglichkeiten, um die Red Button-Angriff zu vereiteln, sagt Oren. Das fast jeder brutal Nutzungs wäre völlig ungenießbar Verbrauch Internet Zugang zu allen Broadcast-gelieferten HTML-Inhalte befinden. Das ist wahrscheinlich nicht weitergehen. Einzel ähnlich wäre Fernseh Smart-TVs werden die gleichen sein wie ein System. Ein einzelner Smart-Fernseher nicht mit dem Ziel, seine Warnzeichen wissen, wird entführt, aber die eingehenden Warnzeichen Daten aus mehreren Fernsehgeräten in der gleichen Gegend bekleidet kann gut gelegen überwacht, um abnorm Sopran Spitzen in Warnzeichen Stärke bekleidet oder auch programmieren inkonsistent HbbTV-Anwendungen an einzelnen Satz der Sätze heruntergeladen, aber nicht alle von ihnen. Die Sender arrangieren würde, kommen aus benommen Lasten von Datenschutzfragen oder sie würde sogar zulässig sein, um diese Art des Zuhörens Software bereitstellen.
Eine alternative Lösung wäre, unverzüglich Benutzer angeordnet werden, um eine Schaltfläche Bestätigung ihrer Sanktion oder sonst eine App startet auf dem Fernseher, das gleiche wie gut das gleiche wie normale Erinnerungen mit dem Ziel der Apps werden geladen sonst läuft jedes Mal wenn sie die Kanäle zu wechseln drücken . Werbetreibende und Content-Unternehmen kämpfen würde wahrscheinlich das, und es wäre nichts, um Angriffe mit dem Ziel, zu nutzen Apps mit dem Ziel laufen unsichtbar im Hintergrund gekleidet behindern auszuführen.
———
Zurück