智能电视将成为网络犯罪攻击的下一个目标

        智能电视已经为网络罪犯的攻击打开了一个新的窗口,因为其设备的安全防御系统通常远远落后于智能手机和台式电脑。

        由于制造商片面强调为用户提供方便,忽视了安全问题, 运行着例如Android这种移动操作系统的智能电视成为了易受攻击的目标, 这样的权衡可能会造成严重的后果。

        智能电视不仅仅是消费品,它也是企业董事会中经常使用的设备。根据市场研究显示, 预计2019年之前,智能电视销量每年的增长率将超过20%。

        虽然对智能电视的攻击尚不广泛,但安全专家表示, 网络罪犯迟早会注意到它的弱点,这只是一个时间问题。

        Tolaga Research 的首席研究总监菲尔·马歇尔说:“许多解决方案甚至已经不适用于IT界已知的这些最优方法。这个生态系统是支离破碎的, 快点找到适合市场的解决方案才是问题的关键。”

        智能电视在本质上是计算机,有USB接口,它的操作系统和网络功能也和智能手机没什么不同。但与电脑和移动设备不同的是,智能电视通常不需要任何身份验证。

        Tripwire的计算机安全研究员Craig Young说: “基本上,如果你与这些电视在一个房间里,你就会被当成电视的主人。”

        Young一直在研究智能电视的安全问题,他说一些电视并不能确定通过网络向其发送命令的人是否对电视有实际控制权。

        这意味着攻击者可以从远处控制智能电视,从而导致一个电视在会议上展示比最新的销售数据有伤风化的东西。

        Young 说:“如果有人正在会议室做展示,这就会导致一些意想不到的事情发生。”

        三星、LG和索尼这些主要的制造商已经为智能电视建立了应用程序商店,正如苹果为智能手机建立的那样。但是用户也可能会在无意中从第三方应用商店下载恶意程序,适用于智能手机的攻击方法同样也可以用来对付智能电视。

        Symantec的威胁研究员Candid Wueest故意用勒索软件感染了他全新的Android电视,那是一个将文件加密并且要求用比特币支付赎金的恶意软件。

        Wueest的实验是有点作弊的:他在模拟中间人攻击时修改了自己路由器上的DNS(域名系统)设置，并且引导电视从一个可靠的来源下载恶意应用程序。但是他说，这样的攻击不会超出攻击者的能力范围。

        Wueest也围绕着软件更新指出了智能电视其他的一些问题。一些模型在下载更新没有使用被称为SSL / TLS的加密。

        这可能会导致一个电视下载恶意固件,那是在启动时连接计算机硬件和操作系统的低级代码。智能电视的一些模型的甚至不验证下载的固件的完整性。

        Wueest在电话采访中说：“智能电视的安全是在最后才被想起来的。”

        所有的这些问题都很棘手,特别是在智能电视变得更加商业化以及越来越多的人将支付卡信息输入到电视的情况下。

        0xID是西雅图的一家专门从事移动设备的安全的公司，它的联合创始人Scott Wu说：“我的妻子就喜欢在星期五进行电视购物，因此我们的金融信息也与电视密切相关。”

        智能电视中不运行杀毒软件,令人怀疑的是,是否存在一个实用的用来阻止网络攻击的解决方案。

        Young说：“尽管杀毒软件可以工作,但它也可以降低性能。这将是一个大问题。”

        Wu说, 至少Android的权限模式限制了在没有用户明确批准时安装的应用程序,削弱了恶意应用在智能电视中的功能。但用户可能只是盲目点击警告将其消除，然后继续看电视。

        Young说,智能电视的问题也正困扰着一系列相同的可在网络中使用的设备，也就是所谓的物联网,专家担心它们会被滥用。

        一些公司正致力于解决这个问题，他们设计的新产品是用来检测网络的异常的，而不是全面的杀毒软件。例如来自F-Secure和Dojo-Labs的产品可以监控网络流量。

        Young 说：“显然,业内人士正在思考这个问题。”