image

Onderzoeker krijgt shell op Philips smart TV

zondag 16 november 2014, 17:28 door Redactie, 6 reacties

Een Franse beveiligingsonderzoeker is erin geslaagd om shell-toegang op zijn Philips smart TV te krijgen, wat volgens hem laat zien dat fabrikanten meer moeten doen om slimme apparaten te beveiligen. De smart TV die Frédéric Basse voor zijn onderzoek gebruikte beschikte over een seriële poort waarmee verbinding kan worden gemaakt. Via deze poort is het mogelijk om informatie over het toestel uit te lezen. Zo blijkt dat de computer die voor het "slimme" gedeelte van de televisie verantwoordelijk is op Linux draait.

Door het uitvoeren van een netwerkscan ontdekt Basse dat er op de televisie een UPnP-service draait. Verder onderzoek wijst uit dat de library die voor de UPnP-service wordt gebruikt een kwetsbaarheid uit 2012 bevat. Door het vesturen van een UDP-pakket is het mogelijk om de service te laten crashen. De firmware die Philips voor de televisies gebruikt is echter versleuteld, waardoor het Basse in eerste instantie niet lukt om de televisie via dit lek over te nemen.

Uiteindelijk ontdekt de onderzoeker een andere manier om via het UPnP-lek willekeurige code in het geheugen van de televisie uit te voeren, waardoor hij shell-toegang weet te krijgen. Daar ontdekt hij dat alle processen als root draaien, belangrijke beveiligingsmaatregelen ontbreken en vindt hij de publieke RSA-sleutel voor het ontsleutelen van firmware-updates. In zijn onderzoek dat hij eerder dit jaar presenteerde stelt Basse dan ook dat nu televisies en andere apparaten steeds meer op computers lijken, fabrikanten er ook voor moeten zorgen dat ze over dezelfde beveiligingsmaatregelen beschikken.

Reacties (6)
16-11-2014, 20:20 door Anoniem
Het is heel simpel: alles moet als een computer beschouwd worden incl. de bijbehorende security.
16-11-2014, 21:55 door Anoniem
Leren uit het verleden is wel zo lastig...

Nu zijn het de smart-tvs, morgen de auto's, en volgend jaar de slimme stoommeters... allemaal weer dezelfde ontwerp fout. Security through obscurity werkt gewoon niet...

TheYOSH
16-11-2014, 23:16 door Anoniem
Tja,ik heb ook en philips tv gefabriceerd April dit jaar,het zou wel handig zijn om er misschien ook een antivirus programma op te kunnen zetten,en ook openvpn Wifi erop te kunnen gebruiken voor het smart-tv gedeelte.
17-11-2014, 01:24 door Anoniem
Door Anoniem: Leren uit het verleden is wel zo lastig...

Nu zijn het de smart-tvs, morgen de auto's, en volgend jaar de slimme stoommeters... allemaal weer dezelfde ontwerp fout. Security through obscurity werkt gewoon niet...

TheYOSH

Gosh, ... dat smart meters volgend jaar de heetwatervoorziening gaan meten is nieuw; waar kan ik meer info daarover vinden?
17-11-2014, 10:47 door Anoniem
Met Sony TV's is het zelfs nog erger. Modellen van rond 2009 hebben een Telnet service draaien op poort 12345. Wachtwoord: gemstar
17-11-2014, 10:54 door Anoniem
Wel cool als je dadelijk je TV kunt jailbreaker. Heb je geen dreambox meer nodig.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.