其他

安卓电视机顶盒仍用老旧系统,购买时应如何选择?

2017-12-15 E安全 E安全

更多全球网络安全资讯尽在E安全官网www.easyaq.com


E安全12月15日讯 美国网络安全公司Tripwire 发布研究报告称,基于Android的电视机顶盒(Android TV box)很可能运行着过时的操作系统,且至少一年未进行安全更新。

Tripwire的漏洞与暴露研究小组(VERT)购买了十台基于Android的电视机顶盒进行测试。这项实验的带头研究人员克雷格-杨(Craig Young)通过电子邮件向外媒表示, 热门Amazon US、Amazon UK和eBay“Android电视盒子”产品中就有几款他们测试的机顶盒。

运行过时操作系统的机顶盒不会收到更新

Tripwire VERT小组表示,所有测试设备在运行老旧和不安全的Android版本,本应每月进行安全更新的Android机顶盒,已经快一年没有收到安全更新。这些机顶盒更新必须由机顶盒厂商提供,无法由谷歌直接提供,这就如同大多数使用过时Android操作系统的手机用户不能依靠移动运营商提供更新和安全补丁一样。

另一个重大的安全问题在于,所有这些设备默认允许安装来源不受信任的Android应用程序。这意味着大多数基于Android的设备会因此易遭遇恶意软件感染,尤其是智能手机。

哪些机顶盒可执行间谍活动?

研究人员指出,攻击者能在几个系统上通过网络连接到机顶盒,无需实现授权便能完全控制系统。测试中,其中一台机顶盒配备有集成摄像头和麦克风,研究人员能借此窃听附近用户的对话。这种攻击方式与“哭泣天使”(Weeping Angel)类似。

“哭泣天使”(Weeping Angel)

2017年三月,维基解密曝光大量CIA黑客工具,其中包含代号为“哭泣天使”(Weeping Angel)的黑客工具,该工具以三星 F8000 智能电视为目标,制造出一种“假关机”模式让用户以为屏幕已经被关掉,此时电视会隐秘地进行录音,并在电视重新打开之后通过 WiFi 将录音内容上传给CIA 服务器。“哭泣天使”能将智能电视的麦克风转变为监控工具。

尽量选择正规品牌

研究人员测试的大多数机顶盒属于低端产品,有的甚至大肆宣传能免费获取付费版有线资源。研究人员杨建议消费者购买品牌产品,切勿购买野鸡品牌的产品,因为这些设备运行Android系统易遭遇基于Android的勒索软件攻击。

用户一旦遭遇机顶盒勒索攻击,要解锁的不是文件,更多的是解锁设备本身的访问权限。

注:本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/1316798561.shtml

推荐阅读:

▼点击“阅读原文” 查看更多精彩内容

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存