Avast hat schwerwiegende Sicherheitslücken in zwei beliebten TV-Set-Top-Boxen entdeckt. Diese können es Cyberkriminellen ermöglichen, Malware auf den Geräten zu speichern, um über einen Wetterdienst Botnet- oder Ransomware-Angriffe zu starten.
Hersteller der betroffenen Boxen sind die Unterhaltungselektronik-Unternehmen Thomson und Philips. „THOMSON THT741FTA“ und „Philips DTR3502BFTA“ sind europaweit erhältlich und werden häufig von Verbrauchern gekauft, deren Fernsehgeräte DVB-T2 nicht unterstützen. DVB-T2 ist das aktuelle digitale Signal für terrestrisches Fernsehen, das Zugang zu zusätzlichen hochauflösenden (HD)-Fernsehdiensten bietet. Avast hat beide Hersteller auf die Sicherheitslücken hingewiesen und ihnen Tipps zur Verbesserung der Produktsicherheit mitgeteilt.
Die Untersuchung, geleitet von IoT-Laborteamleiter Vladislav Iluishin und dem IoT-Bedrohungsforscher Marko Zbirka, hat im Januar dieses Jahres begonnen und ist Teil einer laufenden Initiative von Avast zur Untersuchung und Prüfung der Sicherheitsvorkehrungen von IoT-fähigen Geräten.
Zu Beginn ihrer Analyse entdeckten Iliushin und Zbirka, dass beide Geräte mit Internetanschluss von ihren Herstellern mit offenen Telnet-Ports ausgeliefert werden. Dabei handelt es sich um ein mehr als 50 Jahre altes, unverschlüsseltes Protokoll, das für die Kommunikation mit anderen Geräten oder Servern verwendet wird. Dies könnte es einem Angreifer ermöglichen, Fernzugriff auf die Geräte zu erlangen und sie in Botnetze zu integrieren, um DDoS-Angriffe (Distributed-Denial of Service) oder andere bösartige Aktivitäten zu starten. Iliushin und Zbirka ist es gelungen, die Binärdatei des weitverbreiteten Mirai-Botnetzes auf beiden Set-Top-Boxen auszuführen.
Die Experten haben darüber hinaus einen Fehler aufgedeckt, der mit der Architektur der Set-Top-Boxen zusammenhängt. Beide Geräte basieren auf dem Programm Linux-Kernel 3.10.23, das 2016 auf den Boxen installiert wurde. Es dient als Brücke zwischen der Hardware und der Software der Geräte, indem es der Software genügend Ressourcen zuweist, damit sie ausgeführt werden kann. Der Support für Version 3.10.23 lief jedoch im November 2017 aus. Patches für Fehler und Schwachstellen wurden also nur ein Jahr lang herausgegeben, bevor der Support endete. Seitdem sind die Benutzer potenziellen Angriffen ausgesetzt.
Zu weiteren Sicherheitsproblemen der Geräte gehört eine unverschlüsselte Verbindung zwischen den Set-Top-Boxen und einer vorinstallierten Legacy-Anwendung des beliebten Wettervorhersagedienstes Accuweather. Diese Erkenntnis haben die Forscher durch die Analyse des Datenverkehrs zwischen den Set-Top-Boxen und dem Router gewonnen. Die unsichere Verbindung zwischen den Boxen und dem Accuweather-Backend könnte es Cyberkriminellen ermöglichen, die Inhalte zu verändern, die die Benutzer auf ihren Fernsehern sehen, wenn sie die Wetteranwendung nutzen. Beispielsweise könnte ein Eindringling eine Lösegeldnachricht anzeigen, in der er behauptet, der Fernseher des Nutzers sei gekapert worden, und eine Zahlung für die Freigabe des Geräts verlangen.
„Die Hersteller sind nicht nur dafür verantwortlich, bereits vor dem Verkauf ihrer Produkte sicherzustellen, dass die Sicherheitsstandards eingehalten werden, sondern auch dafür, diese und damit ihre Nutzer dauerhaft abzusichern“, sagt Iliushin. „Leider denken IoT-Hersteller selten darüber nach, wie sie die Bedrohungsoberfläche ihrer Produkte reduzieren können. Stattdessen verlassen sie sich auf das absolute Minimum an IoT- und Kundensicherheit oder lassen sie im Extremfall völlig außer Acht, um Kosten zu sparen und ihre Produkte schneller auf den Markt zu bringen.“
Eine vollständige Beschreibung der Erkenntnisse wurde auf Decoded, dem Threat-Intelligence-Blog von Avast, veröffentlicht. Der Beitrag enthält auch Best-Practice-Sicherheitstipps für die Hersteller dieser Geräte und für Endverbraucher. Für Besitzer dieser Set-Top-Boxen sind im Folgenden einige Top-Tipps aufgeführt:
- Wenn Sie die internetbasierten Funktionen Ihrer Set-Top-Box nicht unbedingt benötigen, verbinden Sie sie nicht mit Ihrem Heimnetzwerk.
- Informieren Sie sich. Kaufen Sie immer von etablierten, vertrauenswürdigen Marken, die langfristigen Support für Geräte und Sicherheit bieten.
- Für fortgeschrittene Nutzer: Melden Sie sich auf Ihrer Router-Benutzeroberfläche an und überprüfen Sie in den Einstellungen, ob Universal-Plug and Play (UPnP) aktiviert ist. Wenn dies der Fall ist, empfehlen wir Ihnen, es zu deaktivieren. Überprüfen Sie außerdem Ihre Port-Weiterleitungskonfiguration und deaktivieren sie diese, es sei denn, dies ist für Ihre Zwecke absolut notwendig.
Im Rahmen der Untersuchung setzte sich Avast sowohl mit Philips als auch mit Thomson in Verbindung und teilte die Ergebnisse zusammen mit Vorschlägen zur Verbesserung der Produktsicherheit mit.
#Avast
