Лаборатория Касперского։ Пульт от ТВ-приставки превратили в подслушивающее устройство

Двум исследователям кибербезопасности JJ Lehman и Ofri Ziv из израильской компании Guardicore удалось превратить пульт от ТВ-приставки в подслушивающее устройство. Как сообщает «Лаборатория Касперского», об этом они рассказали на RSA Conference 2021.

Предметом исследования JJ Lehman и Ofri Ziv стал пульт дистанционного управления от ТВ-приставки Comcast Xfinity X1, чрезвычайно популярной в США. Пульт поддерживает голосовые команды — для этого в нем установлены микрофон и процессор. Кроме того, в пульте задействованы две технологии передачи данных – стандартный инфракрасный передатчик и радиоинтерфейс для более высокой скорости передачи данных. Исследователи смогли заполучить прошивку пульта (она хранилась на накопителе ТВ-приставки), а после ее изучения — сформулировать, что именно необходимо в ней изменить, чтобы пульту можно было отдавать команду на включение микрофона и передачу звука по радио.

JJ Lehman и Ofri Ziv изучили механизм общения ТВ-приставки с пультом по радиоинтерфейсу и обновления его ПО. Օни выяснили, что процесс обновления может быть инициирован только пультом. Раз в 24 часа тот посылает приставке запрос, чтобы узнать, есть ли для него обновление, и получает либо отрицательный ответ, либо предложение установить новую версию прошивки. После чего начинает загружать ее. Также они обнаружили, что аутентичность прошивки пульт никак не проверяет. То есть какую бы прошивку ни предложила приставка (или притворяющийся ею компьютер взломщика), он без всяких вопросов загрузит ее и установит. В прошивке модуля самой приставки, отвечающего за общение с пультом, достаточно легко вызвать ошибку, после которой этот модуль уходит на перезагрузку. Это дает атакующему достаточное время, в течение которого отдавать команды пульту гарантированно будет только он. Таким образом, для взлома пульта нужно подождать и «угадать» запрос от пульта на загрузку обновления, сразу после этого «вырубить» модуль ТВ-приставки, отвечающий за общение с пультом, дать пульту положительный ответ и выдать для загрузки модифицированный файл.

В результате исследователи смогли загрузить в пульт модифицированную прошивку, которая посылала запрос на получение обновления не раз в 24 часа, а раз в минуту, и при получении особого ответа включала встроенный в пульт микрофон и транслировала звук атакующим. В качестве эксперимента они успешно опробовали работоспособность метода на сравнительно большом расстоянии и через стену, имитируя стоящий рядом с домом фургон прослушки.

Для защиты от прослушки через пульты телевизоров и приставок с поддержкой голосовых команд эксперты рекомендуют проверить, чтобы в пульте была установлена самая свежая прошивка — в ней проблема уже решена. Также следует периодически проверять наличие обновлений для пульта и устанавливать их, когда они появляются. Соответствующий пункт в настройках телевизора или приставки, скорее всего, найдется где-то рядом с настройками Wi-Fi и Bluetooth. Если пользователь не использует голосовые команды, он может разобрать пульт и физически избавиться от микрофона. Также следует иметь в виду, что значительно более вероятный вариант атаки — это взлом сети Wi-Fi. Поэтому ее следует безопасно настроить, отселить все уязвимые IoT-устройства в гостевую сеть, а при передаче особо ценных данных использовать защищенное соединение.