Urządzenia do przesyłania strumieniowego w ostatnich latach stają się coraz bardziej popularne – nie bez powodu. Przenośne, często aktualizowane i stosunkowo niedrogie w porównaniu z nowym inteligentnym telewizorem, urządzenia te oferują wygodny, ekonomiczny i konfigurowalny sposób dostępu do szerokiej gamy treści w zaciszu własnego domu. Inteligentne telewizory i urządzenia do przesyłania strumieniowego stanowią aż 20% wszystkich podłączonych urządzeń IoT, a potencjalne luki w oprogramowaniu sprzętowym mogą mieć wpływ na znaczną część użytkowników.
Bitdefender ujawnia luki w Amazon Fire TV Stick i Insignia FireOS TV Series
Jako twórca pierwszego na świecie centrum cyberbezpieczeństwa inteligentnego domu producent oprogramowania antywirusowego Bitdefender regularnie kontroluje popularny sprzęt IoT pod kątem luk w zabezpieczeniach, które mogą mieć wpływ na klientów, jeśli nie zostaną zabezpieczone. Dlatego niedawno opublikował raport z badań produktów Amazon Fire TV Stick i Insignia FireOS TV, który jest częścią szerszego programu i ma na celu rzucenie światła na bezpieczeństwo światowych bestsellerów w przestrzeni IoT. Badania ujawniają luki mające wpływ na następujące produkty i wersje:
- Insignia TV z wcześniejszymi wersjami FireOS6.2.9.5
- Fire TV Stick 3. gen. z wcześniejszymi wersjami FireOS7.6.3.3
Uwaga: luki w zabezpieczeniach przedstawione w tym raporcie zostały w odpowiedzialny sposób ujawnione dostawcy w ramach programu Bug Bounty. Amazon wydał poprawki dotyczące tych niedociągnięć na urządzeniach Fire TV i zdalnej aplikacji Fire TV i nie ma dowodów, że ten problem został wykorzystany przeciwko klientom. Producent oprogramowania antywirusowego Bitdefender ściśle współpracuje z zespołem Amazon Fire TV na wszystkich etapach ujawniania luk w zabezpieczeniach.
Luki w zabezpieczeniach w skrócie
- Nieautoryzowane uwierzytelnianie poprzez brutalne wymuszanie kodu PIN sieci lokalnej. Luka ta została spowodowana niewłaściwą implementacją protokołu wymiany kluczy uwierzytelnionych hasłem przez Juggling (lub J-PAKE), co mogło spowodować przejęcie przez atakujących kontroli nad urządzeniem. (CVE-2023-1385)
- Luka w funkcji setMediaSource w serwisie amzn.thin.pl umożliwiła wykonanie dowolnego kodu Javascript. Można go użyć do załadowania dowolnych adresów URL HTTP w przeglądarce internetowej. (CVE-2023-1384)
- Luka w zabezpieczeniach funkcji exchangeDeviceServices w usłudze amzn.dmgr umożliwiła atakującemu zarejestrowanie usług, które są dostępne tylko lokalnie. (CVE-2023-1383)
Harmonogram ujawnień
- 16 grudnia 2022 — Badacze Bitdefender przesyłają wyniki do programu Bug Bounty.
- 19 grudnia 2022 – Program nagród za ujawnienie błędów przesyła raport do sprawdzenia przez dostawcę.
- 20 grudnia 2022 – Zespół Amazon potwierdza ustalenia i rozpoczyna wewnętrzne dochodzenie.
- 12 kwietnia 2023 – Amazon dostarcza poprawkę publicznie.
- 13 kwietnia 2023 – Za odkrycie wyznaczono nagrodę.
- 2 maja 2023 – Ten raport zostaje opublikowany w ramach skoordynowanego ujawnienia.
Najlepsze praktyki dotyczące urządzeń IoT
„Użytkownicy domowi powinni uważnie monitorować urządzenia IoT i izolować je w jak największym stopniu od sieci lokalnej. Można to zrobić, konfigurując dedykowaną sieć wyłącznie dla urządzeń IoT. Ponadto warto także regularnie sprawdzać dostępność nowszego oprogramowania układowego i aktualizować urządzenia, gdy tylko dostawca wyda nowe wersje” – doradza Mariusz Politowicz z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.