Specialiștii în securitate de la Bitdefender au descoperit multiple vulnerabilități în dispozitivele Amazon Fire TV Stick și Insignia Fire OS TV. Cercetarea arată că atacatorii care le exploatează folosesc atacuri de tip brute force (încercări automate de spargere a parolei) și ar putea injecta cod periculos pentru a compromite serviciile de streaming, precum și datele de conectare ale utilizatorilor.
Principalele descoperiri
- Obținerea de autentificări neautorizate prin utilizarea de atacuri de tip brute force la rețeaua locală. Această vulnerabilitate a fost cauzată de implementarea necorespunzătoare a protocolului Password Authenticated Key Exchange by Juggling (sau J-PAKE), care le-ar fi permis atacatorilor să obțină controlul asupra dispozitivului.
- O altă vulnerabilitate în funcția setMediaSource a serviciului amzn.thin.pl a permis executarea unui cod Javascript arbitrar. Acesta ar putea fi folosit pentru a încărca URL-uri HTTP arbitrare în vizualizarea web.
- Vulnerabilitatea în funcția exchangeDeviceServices din serviciul amzn.dmgr a permis unui atacator să înregistreze servicii care sunt accesibile doar local.
Recomandări pentru utilizatori
Specialiștii Bitdefender îndeamnă utilizatorii să verifice că dispun de cele mai noi versiuni ale sistemului de operare, să monitorizeze îndeaproape dispozitivele IoT și să le izoleze de rețeaua principală prin crearea unei rețele dedicate pentru dispozitivele inteligente. De asemenea, utilizatorii trebuie să instaleze actualizările de securitate de îndată ce acestea sunt disponibile.
Vulnerabilitățile identificate de către specialiștii în securitate cibernetică au fost comunicate producătorului prin intermediul programului de raportare a vulnerabilităților. Amazon a remediat problemele semnalate pe dispozitivele Fire TV și din aplicația Fire TV, fără a avea vreo dovadă că acestea ar fi afectat utilizatorii.
În pofida popularității lor deosebit de crescute, dispozitivele IoT sunt printre cele mai vulnerabile echipamente. De-a lungul timpului, cercetătorii Bitdefender au găsit vulnerabilități în zeci de dispozitive inteligente, precum prize electrice, sisteme audio smart, routere, încuietori smart, camere pentru monitorizarea bebelușilor și alte tipuri de aparate de supraveghere video.
Dacă aceste dispozitive nu sunt configurate corect sau dacă sunt lansate pe piață cu vulnerabilități de securitate, atunci ele pot genera numeroase pericole care pot afecta confidențialitatea datelor sau compromiterea rețelelor de acasă și chiar a infrastructurii globale ce permite funcționarea internetului.
Politica de comunicare a vulnerabilităților
Vulnerabilitățile identificate de către specialiștii în securitate cibernetică au fost comunicate în concordanță cu politica Bitdefender de notificare și dezvăluire a vulnerabilităților. Potrivit acesteia, furnizorii sunt înștiințați în scris despre descoperiri și sunt încurajați să remedieze erorile și defecțiunile din produsele semnalate. La 90 de zile după comunicarea inițială, rezultatele cercetării sunt transmise publicului larg.