U nás nabízené set-top boxy pro DVB-T2 může zneužít internetový útočník

  11:56
Odborníci antivirové společnosti varují před ovládnutím dvou set-top boxů pro příjem DVB-T2 televizního signálu. Při testech, kterými odhalují zranitelnosti v přístrojích připojených k internetu, v nich objevili vážné nedostatky v zabezpečení.

Dva modely set-top boxů pro příjem DVB-T2 vysílání, které mohou být ovládnuty útočníkem. | foto: X-Gem S.A.S, StrongTechnet.cz

Jednoúčelová zařízení připojená k internetu mohou být bezpečnostním problémem, pokud se o ně výrobce a uživatel po jejich koupi řádně nestarají. Je to případ i dvou set-top boxů Thomson THT 741 FTA a Philips DTR3502BFTA pro příjem pozemního televizního signálu ve standardu DVB-T2.

Tyto přístroje jsou nyní při přechodu na nový televizní formát poměrně hojně prodávané, i proto, že mají certifikát kompatibility s místním DVB-T2 vysíláním a kódováním HEVC. Podle Českých radiokomunikací, které tento certifikát vydávají, mají oba přístroje stejný základ.

„Zařízení je výrobcem uvedené v ‚Seznamu shodných zařízení‘, což jsou zařízení postavená na stejném technologickém základu jako Strong SRT8541, které bylo 8. srpna 2019 otestováno s verzí firmware 2.2.1. Tudíž jejich vlastnosti, co se funkčnosti DVB-T/DVB-T2 standardu týče, jsou stejné,“ uvádí v testovacím protokolu společnost.

Problémy s operačním systémem i aplikací

Oba modely zkoumali odborníci ze společnosti Avast, kteří se zabývají zabezpečením tzv. internetu věcí (IoT). Podle vyjádření pro naši redakci si je vybrali proto, že přístroje měly na českém trhu největší marketingovou a reklamní kampaň.

I když jsou to produkty, které nesou známou evropskou značku, vyrábí je někdo jiný. Konkrétně set-top box Philips dodává francouzská firma X-Gem a Thomson pak tradiční japonský výrobce elektroniky Strong.

V dnešní době, kdy řada kdysi známých značek licencuje své názvy dalším výrobcům nebo byly rozprodány, ale není tak důležité, kdo produkt vyrábí, ale jak ho vyrábí a jak se o něj stará. A právě v tomto případě oba výrobci selhali.

Podle inženýrů z antivirové firmy Avast totiž neaktualizovali operační systém set-top boxu.

„Obě zařízení totiž od roku 2016 běží na systému Linux Kernel 3.10.23. Podpora této verze však vypršela již v listopadu 2017. Od té doby tak zařízení nemají aktualizovanou ochranu a jejich uživatelé jsou neustále vystavení potenciálním hrozbám,“ varujívýzkumníci IoT v Avastu Marek Žbirka a Vladislav Iliushin.  

Podle nich to ale není jediný problém obou set-top boxů. Další jejich varování míří na nezašifrované propojení mezi set-top boxy a předinstalovanou aplikací známé služby pro předpověď počasí AccuWeather.

„Nezajištěné propojení mezi set-top boxy a AccuWeather umožňuje kyberzločincům měnit obsah, který diváci při používání aplikace vidí. Útočníci tak mohou například zobrazit uživatelům zprávu, že jejich televizor byl zablokován, a žádat výkupné,“ popisují odborníci možné důsledky.

Další varování míří na komunikační protokoly. Výrobci podle specilistů z Avastu používají otevřené telnet porty s více než padesát let starými nezašifrovanými protokoly. Ty mají umožnit útočníkům získat k set-top boxům vzdálený přístup a prostřednictvím botnetů z nich spustit například DDoS útoky. Výzkumníkům Avastu se tak v laboratoři podařilo v obou set-top boxech spustit kód známého botnetu Mirai.

Bohužel se obě společnosti k opravě problémů stavějí negativně.

„Před zveřejněním jsme veškeré problémy oznámili oběma firmám Philips a Strong. Philips zareagoval rychle, ale uvedl, že tento produkt již nepodporuje. Strong jsme kontaktovali prostřednictvím všech nám dostupných cest včetně kontaktních formulářů, ale ani po čtyřech měsících nemáme žádnou reakci,“ popsal situaci pro Technet.cz Vladislav Iliushin z Avastu.

Je třeba podotknout, že podobné problémy mohou mít i další set-top boxy, v podezření je minimálně Strong SRT8541, z nějž tyto dva přístroje vychází.

Pomůže odpojení od internetu

A jak by se měl uživatel podle nich zachovat, aby svůj systém ochránil?

„Doporučujeme v rámci možností tyto set-top boxy vůbec nepřipojovat k domácí síti, jelikož nepřináší uživatelům žádnou přidanou hodnotu, jako je například RSS čtečka nebo předpověď počasí,“ radí našim čtenářům Iliushin. 

Je však třeba doplnit, že tím u některých jiných přístrojů můžete přijít o funkce HbbTV, tedy těch, které jsou zpravidla schovány pod označením „červené tlačítko“ a jsou na internetu závislé.

Kdo je pokročilejší uživatel, může se přihlásit k rozhraní svého routeru a zkontrolovat nastavení, zdali je povolena technologie UPnP (Universal Plug and Play). Pokud ano, doporučují ji odborníci deaktivovat.

„Doporučujeme také zkontrolovat konfiguraci předávání portů a deaktivovat ji, pokud ji nezbytně nepotřebujete,“ radí na závěr.

Obecně platí, že uživatelé s narůstajícím množstvím zařízení připojených k internetu nestíhají nebo nedbají o jejich zabezpečení. Ne vždy tak aktualizují jejich firmware a další software, který na nich běží. Jak je ale vidět, občas je vina i na straně výrobců, kteří se o své prodané zboží již dále nezajímají.

Autor:
  • Nejčtenější

Vyzkoušeli jsme podvod z Aliexpressu. Může vás přijít draho, i po letech

v diskusi je 110 příspěvků

14. března 2024

Nakoupili jsme na Aliexpressu a pěkně se spálili. Jednu USB paměť, dvě externí SSD a jeden externí...

Nejsilnější raketa úspěšně prošla prvním testovacím letem do vesmíru

v diskusi je 138 příspěvků

14. března 2024  12:12,  aktualizováno  15:31

Společnost SpaceX poprvé dostala svůj Starship do vesmírného prostoru. Po dvou předchozích...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Svět uznal nároky Beneše. Československo vyhrálo spor s Polskem o Javorinu

v diskusi je 42 příspěvků

12. března 2024

Před 100 lety se Československo dočkalo mezinárodního uznání ve sporu s Polskem o Javorinu....

Tato novinka ve vyhledávání Googlu lidi pěkně vytáčí. Máme řešení

v diskusi je 153 příspěvků

12. března 2024  10:45

Jedna z novinek, kterou přineslo evropské Nařízení o digitálních trzích, je změna v tom, jak Google...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Polopás není polovičaté řešení. Třetí říše byla mistrem v oboru

v diskusi je 9 příspěvků

18. března 2024

Druhá světová válka byla zlatým věkem polopásových vozidel. Vyráběli je především Němci a...

VIDEO: Střílej po mně! Kameraman natočil téměř celý útok v centru Prahy

Premium Ve čtvrtek zemřelo rukou střelce Davida K. 14 obětí, 25 lidí je zraněných, z toho deset lidí těžce. Jedním z prvních na...

Máma ji dala do pasťáku, je na pervitinu a šlape. Elišku čekají Vánoce na ulici

Premium Noční Smíchov. Na zádech růžový batoh, v ruce svítící balónek, vánoční LED svíčky na baterky kolem krku. Vypadá na...

Test světlých lahvových ležáků: I dobré pivo zestárne v obchodě mnohem rychleji

Premium Ležáky z hypermarketů zklamaly. Jestli si chcete pochutnat, běžte do hospody. Sudová piva totiž dopadla před časem...

Kuličková myš, VHS a další technologické skvosty nedávné minulosti

v diskusi je 7 příspěvků

19. března 2024

S některými bylo možné se běžně setkat ještě před deseti lety, jiné je možné koupit a používat...

Od Amazonu po Voyo. Velký test streamovacích služeb našel obří rozdíly

v diskusi je 10 příspěvků

19. března 2024

Premium V jedné můžete vybírat z dvou set filmů a seriálů, ve druhé z osmi tisíc. V jedné je speciální...

Zemřel astronaut Stafford, který si ve vesmíru „podal“ ruku s Leonovem

v diskusi nejsou příspěvky

18. března 2024  19:10

Ve věku 93 let po dlouhé nemoci zemřel někdejší astronaut Thomas Stafford, který byl zapojený do...

Apple přidá do svých zařízení generativní AI, využije k tomu Google

v diskusi nejsou příspěvky

18. března 2024  13:34

Apple jako jedna z mála technologických společností nezachytil příchod vlny generativní umělé...

Velvyslanectví Alžírské demokratické a lidové republiky
Zahradník/údržbář budov

Velvyslanectví Alžírské demokratické a lidové republiky
Praha

Nutný výchovný pohlavek, souhlasí Bouček i Havlová s přerušením projevu na Lvu

Moderátor Libor Bouček ostře zareagoval na kauzu ohledně délky proslovu režisérky Darji Kaščejevové na předávání cen...

Švábi, vši a nevychované děti. Výměna manželek skončila už po pěti dnech

Nová Výměna manželek trvala jen pět dní, přesto přinesla spoustu vyhrocených situací. Martina ze Znojma se pokoušela...

Vyzkoušeli jsme podvod z Aliexpressu. Může vás přijít draho, i po letech

Nakoupili jsme na Aliexpressu a pěkně se spálili. Jednu USB paměť, dvě externí SSD a jeden externí HDD. Ve třech...

Chtěli, abych se vyspala s Baldwinem kvůli jeho výkonu, říká Sharon Stone

Herečka Sharon Stone (66) jmenovala producenta, který jí řekl, aby se vyspala s hercem Williamem Baldwinem (61). Měla...

Konec nadvlády programátorů. Pozic ubývá, na jednu se hlásí stále víc lidí

Premium Ochota firem splnit uchazečům skoro jakýkoli požadavek a velmi nízká konkurence. Tak by se ještě nedávno dala definovat...