U nás nabízené set-top boxy pro DVB-T2 může zneužít internetový útočník

  11:56
Odborníci antivirové společnosti varují před ovládnutím dvou set-top boxů pro příjem DVB-T2 televizního signálu. Při testech, kterými odhalují zranitelnosti v přístrojích připojených k internetu, v nich objevili vážné nedostatky v zabezpečení.

Dva modely set-top boxů pro příjem DVB-T2 vysílání, které mohou být ovládnuty útočníkem. | foto: X-Gem S.A.S, StrongTechnet.cz

Jednoúčelová zařízení připojená k internetu mohou být bezpečnostním problémem, pokud se o ně výrobce a uživatel po jejich koupi řádně nestarají. Je to případ i dvou set-top boxů Thomson THT 741 FTA a Philips DTR3502BFTA pro příjem pozemního televizního signálu ve standardu DVB-T2.

Tyto přístroje jsou nyní při přechodu na nový televizní formát poměrně hojně prodávané, i proto, že mají certifikát kompatibility s místním DVB-T2 vysíláním a kódováním HEVC. Podle Českých radiokomunikací, které tento certifikát vydávají, mají oba přístroje stejný základ.

„Zařízení je výrobcem uvedené v ‚Seznamu shodných zařízení‘, což jsou zařízení postavená na stejném technologickém základu jako Strong SRT8541, které bylo 8. srpna 2019 otestováno s verzí firmware 2.2.1. Tudíž jejich vlastnosti, co se funkčnosti DVB-T/DVB-T2 standardu týče, jsou stejné,“ uvádí v testovacím protokolu společnost.

Problémy s operačním systémem i aplikací

Oba modely zkoumali odborníci ze společnosti Avast, kteří se zabývají zabezpečením tzv. internetu věcí (IoT). Podle vyjádření pro naši redakci si je vybrali proto, že přístroje měly na českém trhu největší marketingovou a reklamní kampaň.

I když jsou to produkty, které nesou známou evropskou značku, vyrábí je někdo jiný. Konkrétně set-top box Philips dodává francouzská firma X-Gem a Thomson pak tradiční japonský výrobce elektroniky Strong.

V dnešní době, kdy řada kdysi známých značek licencuje své názvy dalším výrobcům nebo byly rozprodány, ale není tak důležité, kdo produkt vyrábí, ale jak ho vyrábí a jak se o něj stará. A právě v tomto případě oba výrobci selhali.

Podle inženýrů z antivirové firmy Avast totiž neaktualizovali operační systém set-top boxu.

„Obě zařízení totiž od roku 2016 běží na systému Linux Kernel 3.10.23. Podpora této verze však vypršela již v listopadu 2017. Od té doby tak zařízení nemají aktualizovanou ochranu a jejich uživatelé jsou neustále vystavení potenciálním hrozbám,“ varujívýzkumníci IoT v Avastu Marek Žbirka a Vladislav Iliushin.  

Podle nich to ale není jediný problém obou set-top boxů. Další jejich varování míří na nezašifrované propojení mezi set-top boxy a předinstalovanou aplikací známé služby pro předpověď počasí AccuWeather.

„Nezajištěné propojení mezi set-top boxy a AccuWeather umožňuje kyberzločincům měnit obsah, který diváci při používání aplikace vidí. Útočníci tak mohou například zobrazit uživatelům zprávu, že jejich televizor byl zablokován, a žádat výkupné,“ popisují odborníci možné důsledky.

Další varování míří na komunikační protokoly. Výrobci podle specilistů z Avastu používají otevřené telnet porty s více než padesát let starými nezašifrovanými protokoly. Ty mají umožnit útočníkům získat k set-top boxům vzdálený přístup a prostřednictvím botnetů z nich spustit například DDoS útoky. Výzkumníkům Avastu se tak v laboratoři podařilo v obou set-top boxech spustit kód známého botnetu Mirai.

Bohužel se obě společnosti k opravě problémů stavějí negativně.

„Před zveřejněním jsme veškeré problémy oznámili oběma firmám Philips a Strong. Philips zareagoval rychle, ale uvedl, že tento produkt již nepodporuje. Strong jsme kontaktovali prostřednictvím všech nám dostupných cest včetně kontaktních formulářů, ale ani po čtyřech měsících nemáme žádnou reakci,“ popsal situaci pro Technet.cz Vladislav Iliushin z Avastu.

Je třeba podotknout, že podobné problémy mohou mít i další set-top boxy, v podezření je minimálně Strong SRT8541, z nějž tyto dva přístroje vychází.

Pomůže odpojení od internetu

A jak by se měl uživatel podle nich zachovat, aby svůj systém ochránil?

„Doporučujeme v rámci možností tyto set-top boxy vůbec nepřipojovat k domácí síti, jelikož nepřináší uživatelům žádnou přidanou hodnotu, jako je například RSS čtečka nebo předpověď počasí,“ radí našim čtenářům Iliushin. 

Je však třeba doplnit, že tím u některých jiných přístrojů můžete přijít o funkce HbbTV, tedy těch, které jsou zpravidla schovány pod označením „červené tlačítko“ a jsou na internetu závislé.

Kdo je pokročilejší uživatel, může se přihlásit k rozhraní svého routeru a zkontrolovat nastavení, zdali je povolena technologie UPnP (Universal Plug and Play). Pokud ano, doporučují ji odborníci deaktivovat.

„Doporučujeme také zkontrolovat konfiguraci předávání portů a deaktivovat ji, pokud ji nezbytně nepotřebujete,“ radí na závěr.

Obecně platí, že uživatelé s narůstajícím množstvím zařízení připojených k internetu nestíhají nebo nedbají o jejich zabezpečení. Ne vždy tak aktualizují jejich firmware a další software, který na nich běží. Jak je ale vidět, občas je vina i na straně výrobců, kteří se o své prodané zboží již dále nezajímají.

Autor:
  • Nejčtenější

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

v diskusi je 125 příspěvků

26. března 2024

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo...

Z jaderné triády zbyly Britům už jen ponorky. A ty musejí posílit

v diskusi je 76 příspěvků

27. března 2024

Jadernou triádu tvoří strategické bombardéry s jadernými zbraněmi, mezikontinentální balistické...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Rusko zastavilo odlet na ISS s první Běloruskou, letět měla i Američanka

v diskusi je 50 příspěvků

21. března 2024  10:23,  aktualizováno  14:26

Ve čtvrtek 21. března se necelých deset minut před půl třetí odpoledne měla vydat na Mezinárodní...

Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

v diskusi je 17 příspěvků

28. března 2024

Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Načapali jsme otesánka, který se velkého sousta nezalekne. Boeing 747-400F

v diskusi je 8 příspěvků

21. března 2024

Poté, co na Letiště Václava Havla Praha přestaly v barvách Qatar Airways létat nákladní Boeingy...

Američané odepsali modul, který je vrátil po půl století na Měsíc

v diskusi je 17 příspěvků

28. března 2024,  aktualizováno  11:41

Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

v diskusi je 17 příspěvků

28. března 2024

Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

Úspěšný let prototypu XB-1 vrací do hry cestování nadzvukovou rychlostí

v diskusi je 31 příspěvků

27. března 2024  17:17

Po více než dvaceti letech, od ukončení provozu letounu Concorde, se možná opět dočkáme nadzvukové...

Jarní bouře ničila před 100 lety Prahu. Napáchala obří škody

v diskusi je 10 příspěvků

27. března 2024

Prahou prošla před 100 lety, 27. března 1924, neobvykle silná jarní bouřka. V části hlavního města...

Rána pro britskou monarchii. Princezna Kate má rakovinu, chodí na chemoterapii

Britská princezna z Walesu Kate (42) se léčí s rakovinou. Oznámila to sama ve videu na sociálních sítích poté, co se...

Smoljak nechtěl Sobotu v Jáchymovi. Zničil jsi nám film, řekl mu

Příběh naivního vesnického mladíka Františka, který získá v Praze díky kondiciogramu nejen pracovní místo, ale i...

Rejžo, jdu do naha! Balzerová vzpomínala na nahou scénu v Zlatých úhořích

Eliška Balzerová (74) v 7 pádech Honzy Dědka přiznala, že dodnes neví, ve který den se narodila. Kromě toho, že...

Pliveme vám do piva. Centrum Málagy zaplavily nenávistné vzkazy turistům

Mezi turisticky oblíbené destinace se dlouhá léta řadí i španělská Málaga. Přístavní město na jihu země láká na...

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo divadelních...