|
שני חוקרים מאוניברסיטת קולומביה איתרו חולשה הזמינה בסטנדרט הקיים במגוון רחב של טלוויזיות חכמות הנמכרות באירופה. בעזרתה, יכולים האקרים לחדור אל הטלוויזיה עצמה ומשם אל הרשת הביתית כולה – מבלי שהצופים יהיו מודעים לכך.
אנחנו יודעים במה צפית בקיץ האחרון
על פי המאמר שפרסמו צמד החוקרים, יוסי אורן ואנגלוס קרומיטיס, החולשה התגלתה בסטנדרט Hybrid Broadcast Broadband TV או HbbTV, המאפשר למשתמשים לצפות בתכנים ממספר מקורות כגון שידורים דיגיטליים, מכשירים מחוברים וכמובן באמצעות האינטרנט. מדובר בגרסה של מתקפת Man-in-the-Middle עם מספר התאמות רלוונטיות, שקיבלה את השם Red Button attack, הודות לכפתור האדום בשלט השולט בפיצ'רים השונים בטלוויזיות החכמות.
בפועל, כל מה שהצופה צריך לעשות הוא לצפות בערוץ מסויים. ברקע, ההאקר מזהה את תדר השידור, פורץ אליו ויכול לשדר קוד זדוני שישפיע על מערכות המשתמש. בעזרתו, הוא יכול לקבל גישה למגוון השירותים המוטמעים בטלוויזיות, כגון שמות משתמש וסיסמאות לפייסבוק, יוטיוב וכדומה, אך הוא גם מסוגל לגשת אל שאר המכשירים המחוברים אל הרשת ולהשיג גם מהם מידע חשוב ואישי.
כמובן שההתקפות הללו רצות ברקע מבלי שהצופים יהיו מודעים לכך, וגם במידה והתגלו יהיה כמעט בלתי אפשרי להגיע אל מקורן. זאת הודות לעובדה שהתוקפים אינם משתמשים בכתובות IP או שרתי DNS, אלא מנצלים את תדר השידור עצמו ונעלמים ברגע שמסיימים את עבודתם.
האם צריך לדאוג?
הפרצה הוצגה על ידי אורן וקרומיטיס לראשונה בחודש דצמבר האחרון, אך לא קיבלה יותר מידי חשיפה שכן נקבע כי אינה חמורה מספיק על מנת לשנות את הסטנדרטים הקיימים. זאת לאור העובדה שדורשת השקעה רבה מצד ההאקרים ואינה יכולה להגיע אל יותר מידי משתמשים.
מי צופה במי? | צילום: shutterstock
המשמעות היא שהאקרים זקוקים לגישה למוקד השידור של הטלוויזיות השונות, ובעוד שיכולים להשיג זאת באמצעות קוואדקופטר עליו מורכבת החומרה הנדרשת, מדובר על מתקפה שזקוקה לתכנון מראש ולאמצעים פיזיים, מה שסביר להניח יגרום לתוקפים רבים להמנע ממנה.
אורן אינו מסכים עם קביעה זאת. לדבריו, השקעה של כ-200 דולרים עבור חומרה וגישה לגגות בנייני מגורים, משרדים וכדומה תאפשר להאקרים לכסות שטח של כ-1.4 קילומטרים רבועים עם מכשיר אחד. אורן מיפה את ניו יורק והגיע למסקנה כי מספיק להציג מכשיר כזה על גג בניין בקווינס על מנת להגיע אל כ-70 אלף משתמשים לכל קילומטר רבוע, כך שהפוטנציאל קיים לצד הרצון להגיע אל מידע אישי של משתמשים רבים.
הפתרון אותו מציע אורן בשלב זה, הוא להגדיר שהמשתמשים יתבקשו לאשר ידנית בכל פעם שאפליקציה או שירות מתחילים לרוץ ברקע הטלוויזיה החכמה, כמו גם להציג תזכורות של האפליקציות השונות שרצות. עם זאת, לאור העובדה שהמשתמשים יכולים פשוט להחליף ערוץ בטלוויזיה או פשוט לנתק אותה מהאינטרנט על מנת להגן על עצמם, סביר להניח שלא נוכל לראות תיקונים, עדכונים או שדרוגים שיעזרו להגן על המשתמשים, לפחות לא עד שהמתקפות הללו יתחילו להיות נפוצות.
לכתבה בגיקטיים
עוד בגיקטיים:
פריצה לשרתי גיקטיים: גם לנו זה קרה, איך התמודדנו?
נרדמתם באוטובוס? Google Now תעיר אתכם כשתגיעו לתחנה
|
