利用漏洞
攻击者还能够利用软件漏洞攻击电视。由于智能电视拥有浏览 页的功能,攻击者可以引导用户访问恶意 站,该恶意 站能够检测电视中存在漏洞的软件,并利用漏洞,实现有效载荷。由于智能电视本身会具有多种不同媒体格式及文件格式漏洞,例如近期的libpng漏洞,它们是攻击者理想的利用目标。
系统更新或未进行更新
现在,许多智能电视都能够在设备空闲时提供自动检查、更新并下载的功能。即使电视操作系统开发人员定期发布软件更新,用户仍旧需要依靠电视制造商为设备发布更新,这意味着,在等待发布更新的期间,用户的电视会非常容易受到攻击。
此外,一些智能电视会从非SSL 站下载固件更新,MitM攻击者可以拦截并丢弃这一 络流量。这意味着,攻击者能够阻止电视更新,使其容易受到现有漏洞的攻击。从另一个角度说,修改更新程序包本身非常困难,因为在安装之前需要进行加密和验证。但我们也看到,一些设备的更新并不能起到保护作用。
智能电视如果采用常见的Android安全设置,在默认情况下,该安全设置会禁止从第三方市场安装,并要求验证下载应用。这些设置会帮助用户最大程度地降低意外安装恶意软件的风险。用户需要在修改设置前认真考虑安全风险。
如何避免智能电视遭受攻击/h2>
如果智能电视感染勒索软件,用户应该如何应对一些情况下,用户只需通过系统菜单卸载恶意软件即可。但在某些情况下,清理受感染的智能电视具有一定难度。由于实验中所使用的勒索软件攻击性较强,威胁交互窗口显示时间为2秒钟,这不足以让赛门铁克研究人员通过菜单将其卸载。如果重启电视,在威胁启动前,交互窗口会有20秒的显示时间,但该时间长度同样不足以启动恢复出厂设置或访问卸载设置。
不仅如此,当赛门铁克研究人员试图通过电视制造商在线技术支持寻求帮助时,恶意软件会阻止电视上的远程支持会话功能。由于此前赛门铁克研究人员启用了隐藏的Android ADB调试选项,该选项能够通过ADB模式移除木马程序。但对于经验不足的普通用户而言,一旦智能电视受到感染,他们将很可能无法打开智能电视,使电视变为贵重的“废品”。
赛门铁克安全防御建议:
目前大多数攻击为安全研究人员的概念性验证,赛门铁克尚未发现针对智能电视的普遍恶意软件攻击,但这并不意味着攻击者不会在未来构成威胁。随着智能电视愈加受到欢迎, 络罪犯终将以它们为攻击目标。赛门铁克建议智能电视用户考虑以下安全防御建议:
在购买和设置过程中,查看隐私条款,了解所同意共享的数据。许多公司会将用户数据共享和出售给第三方,用户需要认真查看条款以及对隐私的影响;
谨慎从未知源上安装未经验证的应用程序;
在设置中启用应用验证;
根据个人需求,修改设备的隐私与安全设置;
禁用不常用的功能,例如摄像机或麦克风,并考虑遮挡摄像头;
在不需要时,禁用或保护对智能电视的远程访问;
在设置Wi-Fi 络时,采用WPA2等强大的加密措施;
尽可能使用有线连接,而非无线连接;
尽可能在独立家庭 络中对设备进行设置。例如建立访客账户,以便隔离受到攻击设备对自身家庭 络的影响;
在购买二手智能电视时,请提高谨慎,该设备可能曾遭受攻击或篡改;
在购买前,研究供应商的设备安全措施和更新频率,以了解供应商是否即时提供安全更新;
在第一时间对设备和应用进行更新,并启用自动更新。
为了帮助并提高用户对物联 设备安全的意识,赛门铁克参与了在线信任联盟,该非营利组织致力于为智能家庭和联 设备开发安全和隐私标准。
原文发布时间为:2015-12-15
文章知识点与官方知识档案匹配,可进一步学习相关知识云原生入门技能树首页概览8583 人正在系统学习中 相关资源:淘金币抵钱怎么用|淘金币自动领取工具v1.3绿色版.zip_淘金币自动…
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!