当前位置:安全行业动态 → 正文

大多数基于Android的电视机顶盒仍在使用老旧OS

责任编辑:editor005 |来源:企业网D1Net  2017-12-15 14:25:32 本文摘自:E安全

美国网络安全公司Tripwire 12月14日发布研究报告显示,基于Android的电视机顶盒很可能运行着过时的操作系统,至少有一年未收到安全更新。

大多数基于Android的电视机顶盒仍在使用老旧OS-E安全

Tripwire的漏洞与暴露研究小组(VERT)购买了十台基于Android的电视机顶盒进行测试。这项实验的带头研究人员克雷格-杨(Craig Young)通过电子邮件向外媒表示, 热门Amazon US、Amazon UK和eBay“Android电视盒子”产品中就有几款他们测试的机顶盒。

运行过时操作系统的机顶盒不会收到更新

Tripwire VERT小组表示,所有测试设备在运行老旧和不安全的Android版本,本应每月进行安全更新的Android机顶盒,已经快一年没有收到安全更新。这些机顶盒更新必须由机顶盒厂商提供,无法由谷歌直接提供,这就如同大多数使用过时Android操作系统的手机用户不能依靠移动运营商提供更新和安全补丁一样。

另一个重大的安全问题在于,所有这些设备默认允许安装来源不受信任的Android应用程序。这意味着大多数基于Android的设备会因此易遭遇恶意软件感染,尤其是智能手机。

机顶盒可执行间谍活动

研究人员指出,攻击者能在几个系统上通过网络连接到机顶盒,无需实现授权便能完全控制系统。测试中,其中一台机顶盒配备有集成摄像头和麦克风,研究人员能借此窃听附近用户的对话。这种攻击方式与“哭泣天使”(Weeping Angel)类似。

“哭泣天使”(Weeping Angel):

2017年三月,维基解密曝光大量CIA黑客工具,其中包含代号为“哭泣天使”(Weeping Angel)的黑客工具,该工具以三星 F8000 智能电视为目标,制造出一种“假关机”模式让用户以为屏幕已经被关掉,此时电视会隐秘地进行录音,并在电视重新打开之后通过 WiFi 将录音内容上传给CIA 服务器。“哭泣天使”能将智能电视的麦克风转变为监控工具。

研究人员测试的大多数机顶盒属于低端产品,有的甚至大肆宣传能免费获取付费版有线资源。研究人员杨建议消费者购买品牌产品,切勿购买野鸡品牌的产品,因为这些设备运行Android系统易遭遇基于Android的勒索软件攻击。

用户一旦遭遇机顶盒勒索攻击,要解锁的不是文件,更多的是解锁设备本身的访问权限。

关键字:Android电视机顶盒

本文摘自:E安全

x 大多数基于Android的电视机顶盒仍在使用老旧OS 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

大多数基于Android的电视机顶盒仍在使用老旧OS

责任编辑:editor005 |来源:企业网D1Net  2017-12-15 14:25:32 本文摘自:E安全

美国网络安全公司Tripwire 12月14日发布研究报告显示,基于Android的电视机顶盒很可能运行着过时的操作系统,至少有一年未收到安全更新。

大多数基于Android的电视机顶盒仍在使用老旧OS-E安全

Tripwire的漏洞与暴露研究小组(VERT)购买了十台基于Android的电视机顶盒进行测试。这项实验的带头研究人员克雷格-杨(Craig Young)通过电子邮件向外媒表示, 热门Amazon US、Amazon UK和eBay“Android电视盒子”产品中就有几款他们测试的机顶盒。

运行过时操作系统的机顶盒不会收到更新

Tripwire VERT小组表示,所有测试设备在运行老旧和不安全的Android版本,本应每月进行安全更新的Android机顶盒,已经快一年没有收到安全更新。这些机顶盒更新必须由机顶盒厂商提供,无法由谷歌直接提供,这就如同大多数使用过时Android操作系统的手机用户不能依靠移动运营商提供更新和安全补丁一样。

另一个重大的安全问题在于,所有这些设备默认允许安装来源不受信任的Android应用程序。这意味着大多数基于Android的设备会因此易遭遇恶意软件感染,尤其是智能手机。

机顶盒可执行间谍活动

研究人员指出,攻击者能在几个系统上通过网络连接到机顶盒,无需实现授权便能完全控制系统。测试中,其中一台机顶盒配备有集成摄像头和麦克风,研究人员能借此窃听附近用户的对话。这种攻击方式与“哭泣天使”(Weeping Angel)类似。

“哭泣天使”(Weeping Angel):

2017年三月,维基解密曝光大量CIA黑客工具,其中包含代号为“哭泣天使”(Weeping Angel)的黑客工具,该工具以三星 F8000 智能电视为目标,制造出一种“假关机”模式让用户以为屏幕已经被关掉,此时电视会隐秘地进行录音,并在电视重新打开之后通过 WiFi 将录音内容上传给CIA 服务器。“哭泣天使”能将智能电视的麦克风转变为监控工具。

研究人员测试的大多数机顶盒属于低端产品,有的甚至大肆宣传能免费获取付费版有线资源。研究人员杨建议消费者购买品牌产品,切勿购买野鸡品牌的产品,因为这些设备运行Android系统易遭遇基于Android的勒索软件攻击。

用户一旦遭遇机顶盒勒索攻击,要解锁的不是文件,更多的是解锁设备本身的访问权限。

关键字:Android电视机顶盒

本文摘自:E安全

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^