E安全12月15日讯 美国网络安全公司Tripwire 发布研究报告称，基于Android的电视机顶盒（Android TV box）很可能运行着过时的操作系统，且至少一年未进行安全更新。

Tripwire的漏洞与暴露研究小组（VERT）购买了十台基于Android的电视机顶盒进行测试。这项实验的带头研究人员克雷格-杨（Craig Young）通过电子邮件向外媒表示， 热门Amazon US、Amazon UK和eBay“Android电视盒子”产品中就有几款他们测试的机顶盒。

运行过时操作系统的机顶盒不会收到更新

Tripwire VERT小组表示，所有测试设备在运行老旧和不安全的Android版本，本应每月进行安全更新的Android机顶盒，已经快一年没有收到安全更新。这些机顶盒更新必须由机顶盒厂商提供，无法由谷歌直接提供，这就如同大多数使用过时Android操作系统的手机用户不能依靠移动运营商提供更新和安全补丁一样。

另一个重大的安全问题在于，所有这些设备默认允许安装来源不受信任的Android应用程序。这意味着大多数基于Android的设备会因此易遭遇恶意软件感染，尤其是智能手机。

哪些机顶盒可执行间谍活动？

研究人员指出，攻击者能在几个系统上通过网络连接到机顶盒，无需实现授权便能完全控制系统。测试中，其中一台机顶盒配备有集成摄像头和麦克风，研究人员能借此窃听附近用户的对话。这种攻击方式与“哭泣天使”（Weeping Angel）类似。

“哭泣天使”（Weeping Angel）：

2017年三月，维基解密曝光大量CIA黑客工具，其中包含代号为“哭泣天使”（Weeping Angel）的黑客工具，该工具以三星 F8000 智能电视为目标，制造出一种“假关机”模式让用户以为屏幕已经被关掉，此时电视会隐秘地进行录音，并在电视重新打开之后通过 WiFi 将录音内容上传给CIA 服务器。“哭泣天使”能将智能电视的麦克风转变为监控工具。

尽量选择正规品牌

研究人员测试的大多数机顶盒属于低端产品，有的甚至大肆宣传能免费获取付费版有线资源。研究人员杨建议消费者购买品牌产品，切勿购买野鸡品牌的产品，因为这些设备运行Android系统易遭遇基于Android的勒索软件攻击。

用户一旦遭遇机顶盒勒索攻击，要解锁的不是文件，更多的是解锁设备本身的访问权限。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/1316798561.shtml

▼点击“阅读原文” 查看更多精彩内容