2020/11/15

Smart TVs TCL com backdoor?

Um investigador descobriu "buracos" preocupantes nalgumas Smart TVs da TCL, que permitem o acesso remoto sem qualquer tipo de autenticação.

A maioria das pessoas assume que, quando compra um dispositivo tecnológico moderno, que este terá implementado as regras básicas de segurança. Infelizmente, uma e outra vez, vai-se constatando que nem sempre isso acontece; e desta vez as más notícias são referentes a algumas Smart TVs da TCL.

Um investigador ficou pasmado com o que descobriu ao explorar algumas Smart TVs da TCL, descobrindo que as mesmas revelavam publicamente todos os conteúdos que nela fossem colocados, e permitindo também que um potencial atacante para lá enviasse conteúdos maliciosos, sem que sequer fosse pedido qualquer tipo de autenticação. Desde que o atacante estivesse na mesma rede da Smart TV, ou tivesse paciência para pesquisar a internet em busca de modelos directamente acessíveis (que também existem), ficavam literalmente com a porta aberta sem qualquer dificuldade para comprometerem não só o televisor como potencialmente outros equipamentos na mesma rede.

Ora, estamos a falar "somente" do terceiro maior fabricante mundial de televisores, e é completamente inadmissível que uma empresa desta dimensão - ou de qualquer dimensão que seja - lance para o mercado equipamentos tão flagrantemente vulneráveis.

Até pode dar-se o caso que o fabricante tivesse apenas "boas intenções" e usasse isto para facilitar o processo de actualizar as suas Smart TVs - algo que veio a fazer remotamente, sem qualquer indicação nem pedido de permissão, com o próprio televisor do investigador. Mas, bem sabemos que as "boas intenções" de pouco servem quando se trata de deixar um pessoa exposta em termos de segurança digital.

É pena que por este andar se seja quase obrigado a ter um curso de auditoria e segurança digital para se poder avaliar que tipo riscos poderá ter qualquer equipamento electrónico que se traga para casa. Poderá também ser uma boa oportunidade para que os routers ganhem importância e atenção acrescida, podendo bloquear e informar os utilizadores de todo o tipo de comunicações que não tenham sido autorizadas expressamente. A táctica de revelar publicamente o que as coisas estão a fazer tem tido bons resultados (como quando o iOS começou a mostrar que apps acedem à área de transferência e se descobriram apps que espiavam o que lá se colocava sem qualquer justificação), e talvez seja esse o caminho para detectar e combater este tipo de falhas flagrantes.

3 comentários:

  1. Isto não é novidade. Aos anos que sei, porque as notícias sobre a temática são recorrentes, que os fabricantes de smart tvs se estão a lixar para a segurança. Nem uma básica firewall tinham, e acho que a maior parte (todas?) continuam a não ter.
    A televisão cá de casa vinha com o Bluetooth ligado, outro problema de segurança, e para desligar aquilo é preciso fazer determinado procedimento para aceder a um menu secreto porque não era possível desactivar a funcionalidade de outra maneira.

    ResponderEliminar
  2. "Isto não é novidade."
    esta tudo dito

    ResponderEliminar
  3. Um pouco off topic, mas acham que com um router como um Asus AX88U se consegue uma boa gestão no tráfego da rede interna cá de casa para capar as ligações externas de certos equipamentos?
    Estou a ponderar comprar um router destes para gerir a internet e meter o da MEO em modo bridge mas dado o investimento estou um pouco reticente.

    ResponderEliminar

[pub]