Sikkerhedsfejl i to tv-bokse udstiller udfordringerne ved IoT-produkterne

Af Eskil Sørensen, 27/08/20

Gamle IoT-produkter udgør en risiko for slutbrugerne og den generelle cybersikkerhed.

Antivirusproducenten Avast har opdaget alvorlige sikkerhedsfejl i to populære TV-set-top-bokse, hvilket potentielt kan føre til cyberangreb mod tv-seere med de pågældende tv. Dette skriver Infosecurity Magazine.

At tv og andre IoT-produkter som fx. babyalarmer, køleskabe mv. kan anvendes til cyberangreb har tidligere lydt som et fjernt fremtidsscenarie, men er på vej til at blive almindeligt fremover i kraft af, at ældre IoT-produkter indeholder uopdaterede sårbarheder, der kan give ondsindede aktører adgang til fjernbetjene enheder med henblik på at starte botnet- og ransomware-angreb.

Den tekniske forklaring lyder, at begge de pågældende tv-produkter, THOMSON THT741FTA and Philips DTR3502BFTA, anvender en ukrypteret protokol, de åbne telnet-porte, til at kommunikere med eksterne servere eller enheder. En ukrypteret protokol er netop det, som cyberkriminelle kan bruge til at starte DDos-angreb ved hjælp af botnet. Et andet problem, som Infosecurity Magazine skriver om, er at begge de to TV-bokse anvender et program Linux Kernel 3.10.23, installeret i 2016, som imidlertid ikke har været patchet siden november 2017.

Udover at blive en del af et botnet, fortæller Avast, vil det også være muligt at ændre det indhold, brugerne ser i apps på deres tv. Som eksempel nævnes det, at en app på tv'et i stedet for at vise vejrudsigten kan vise en meddelelse om, at tv’et er blevet kapret, og der kræves et beløb for at frigive det. Også selv om det slet ikke er kapret.

Avast skriver selv om problemet med IoT-sikkerhed, at ”..producenter ikke kun er ansvarlige for at sikre, at sikkerhedsstandarder overholdes, før deres produkter stilles til rådighed. De er også ansvarlige for at sikre dem efterfølgende og derfor brugernes sikkerhed.”

Denne udfordring gør sig gældende for alle producenter af digitale enheder, men IoT-produkter har tidligere levet i det skjulte. Det gør de ikke så meget længere, hvilket cyberkriminelle har opdaget. Af den grund er man også internationalt begyndt at tale om sikkerhedsstandarder for IoT-produkter.

Links:

https://www.infosecurity-magazine.com/news/security-flaws-tv-set-top-expose/