Las TVs inteligentes ofrecen a día de hoy numerosas funcionalidades que hace unos años sólo podíamos ver en ordenadores personales. Conectividad Wi-Fi, Twitter, Facebook, Skype o bien aplicaciones de vídeo bajo demanda son posibilidades que podemos disfrutar hoy en el salón desde el mando de la TV.
Sin embargo todo este avance trae consigo el aumento de los fallos de seguridad en el segmento de las televisiones que pasa a sufrir vulnerabilidades debido a la complejidad software que se esconde bajo todas esas aplicaciones.
Sin ir más lejos, dos investigadores de seguridad demostraron en la conferencia Black Hat cómo un Smart TV Samsung sufría vulnerabilidades comunes que podrían dejar al dispositivo listo para recibir ataques remotos.
Televisiones más inteligentes, más vulnerables
Las vulnerabilidades en el sistema operativo que rige toda la plataforma de aplicaciones en SmartTVs Samsung se podrían utilizar para robar información del usuario final e incluso para espiar al mismo si la TV dispone de una webcam tal y como comentan Aaron Grattafiori y Josh Yavor, ingenieros de seguridad en ISEC Partners.
En su presentación del pasado jueves en Black Hat ambos investigadores describieron una SmartTV Samsung como, esencialmente, un dispositivo Linux configurado con un navegador Webkit para abrir páginas web y ejecutar aplicaciones. Por tanto, es un sistema que sufre las mismas vulnerabilidades que han sufrido navegadores basados en ese motor y que han sido documentadas y parcheadas con el paso del tiempo.
En la presentación mostraron dos vulnerabilidades en SmartHub, la aplicación encargada de muchas de las funcionalidades interactivas de la TV y que podrían ser explotadas por un usuario local o remoto para, por ejemplo, activar la webcam del SmartTV y espiar a una supuesta víctima tanto con imagen como con sonido.
Ataques del tipo DNS poisoning y drive-by download muestran cómo las vulnerabilidades pueden ser combinadas para conseguir credenciales de usuario local, el historial de búsqueda, caché, cookies, la contraseña inalámbrica, entre otros.
Uno de los hacks más impresionantes que mostraron fue contra la aplicación Skype integrada en las TVs Samsung. Los investigadores inyectaron javascript malicioso en formato de mensaje de estado forzando el reinicio de la aplicación y comentaron que se pueden usar otros ataques similares para acceder a los datos almacenados del usuario, credenciales y mucho más.
¿Qué necesitan las SmartTVs para ser más seguras?
Tal y como comentan Aaron Grattafiori y Josh Yavor, quienes han reportado sus hallazgos a Samsung para que sean solucionados, vulnerabilidades similares afectarán probablemente a otros dispositivos "inteligentes" del mercado.
Los investigadores comentan que este tipo de dispositivos carecen de características de seguridad básicas como firewalls o requisitos de autenticación. Aunque admiten que muchos de los modelos más recientes están empezando a implementarlos.
Samsung ha lanzado diversos parches durante el año para ir solucionando vulnerabilidades y ha comentado que la línea de 2014 tendrá completamente solucionado el problema de acceso a APIs (Application Program Interfaces). De hecho, se lanzarán actualizaciones OTA a las TVs actuales para que se cierren esos agujeros de seguridad.
La inseguridad de SmartTVs al descubierto
Esta no es la primera vez que se ha demostrado que las TVs de la surcoreana Samsung están en peligro. Ya en diciembre de 2012, ReVuln demostró en vídeo cómo existía una vulnerabilidad que podría explotarse remotamente, otorgando acceso a todos los archivos disponibles en el dispositivo, incluyendo los conectados vía USB (pendrives, HDs).
Esa vulnerabilidad se aprovechó en un modelo SmartTV de 2011 mientras que la demostrada en Black Hat de este año está disponible en un modelo más actual. Ha habido numerosos cambios software y hardware en las SmartTVs desde 2011 hasta este año sin embargo tal y como comenta Grattafiori, las SmartTVs no son objetivo sencillo para ataques, debido al poco peso en el mercado que tienen además arremete contra Samsung y su elección de HTML + JavaScript para su plataforma:
"Creo que prácticamente todavía no es una gran plataforma para conseguir que mucha gente se esfuerce en ello (...) Construir un sistema operativo más allá de ese framework tiene algunos riesgos. Queríamos llamar la atención de desarrolladores que estén trabajando en otro sistema operativo o teléfono con HTML y Javascript".
La decisión de Samsung de utilizar un navegador basado en la tecnología Webkit expone a esos dispositivos a un rango de exploits existentes de manera directa. Los investigadores han querido destacar que si bien hoy las SmartTVs y su conectividad podría ser un dispositivo de nicho la tendencia del mercado apunta a un cambio inminente:
"Algunas de estas cosas podrían parecer muy lejanas, pero en cinco años cuando todo disponga de una dirección IPv6 y está conectado, podríamos hablar de un planteamiento muy distinto".
Es decir, si tienes una SmartTV y la tienes conectada a Internet, no dudes en actualizar el software de la misma - consulta el manual de tu modelo - ya que, si bien hoy día las amenazas para tu seguridad y privacidad son poco probables, es sólo cuestión de tiempo que esa situación cambie.
Vía | SlashDot En Xataka Home | Especial SmartTV
Ver 12 comentarios