英國黑客發(fā)現(xiàn)電視標(biāo)準(zhǔn)漏洞 或影響全球數(shù)億臺電視

吃著火鍋唱著歌 沙發(fā)上一窩。看電視可能是普通人勞累一天后最愜意的時(shí)刻?？墒悄阆氩坏?，你在看電視的電視節(jié)目也許是黑客早就動(dòng)了手腳。

這并非聳人聽聞，正在上海舉辦的SyScan360國際前瞻信息安全會議上，英國黑客稱，電視系統(tǒng)標(biāo)準(zhǔn)存在漏洞，可能影響數(shù)億臺電視。

電視黑客將現(xiàn)身SyScan360

SyScan360國際前瞻信息安全會議，2012年正式在中國舉辦，今年已經(jīng)是第五屆，今年會議請到英國著名的黑客Adam Laurie，他帶來關(guān)于電視破解的議題。

“將介紹針對所有符合 “Freeview” 的標(biāo)準(zhǔn)英國電視臺的實(shí)際攻擊。會影響到所有的數(shù)字電視，就像我們以前關(guān)閉模擬信號一樣。”在接受記者電子郵件采訪時(shí)，Adam Laurie表示，他發(fā)現(xiàn)了一個(gè)新的漏洞，這個(gè)漏洞存在 MHEG電視標(biāo)準(zhǔn)里，目前采用 MHEG 標(biāo)準(zhǔn)的國家和地區(qū)有愛爾蘭、新西蘭、澳大利亞和中國香港。

Adam Laurie介紹，漏洞影響巨大，不但最新的智能電視受到影響，過去的不聯(lián)網(wǎng)的電視機(jī)也會受到影響。黑客可以更改老式電視的內(nèi)容，包括畫面和聲音等，接入互聯(lián)網(wǎng)的電視也能讓觀眾看到虛假內(nèi)容，并且與電視在同一網(wǎng)絡(luò)的其他硬件設(shè)備會被攻擊。

專家認(rèn)為，這種攻擊比過去劫持電視塔信號更“精準(zhǔn)”，因?yàn)楹诳涂赡茉谟嘘P(guān)部門著手之前已經(jīng)得手。

Adam Laurie稱，現(xiàn)在中國大陸正在試用一種叫做 HBBTV 的類似系統(tǒng)，系統(tǒng)存在著相似的漏洞。隨著交互式和互聯(lián)網(wǎng)、智能電視的日益普及，最終全球所有電視都會遇到相似的問題。目前會有數(shù)千萬或甚至數(shù)億臺電視受到影響。但如果問題得不到解決，最終會有數(shù)十億臺電視受到影響。

十年前就曾通過電視漏洞“玩壞”飯店系統(tǒng)

Adam Laurie是一名“老炮兒”黑客，從1997年開始就是DEFCON的高級成員，他對安全領(lǐng)域關(guān)注非常廣泛，磁條安全、EMV信用卡安全、紅外安全、射頻安全、甚至衛(wèi)星安全都在他的研究范圍之內(nèi)。

對于電視的破解，Adam Laurie一直走在前列。2005年，在Defcon安全專家會議中，Adam Laurie曾經(jīng)示范如何通過電視侵入飯店系統(tǒng)。最后得到包括飯店住房率、房客姓名、帳單、撥打外電的地點(diǎn)和停留時(shí)間等。甚至，Adam Laurie可以通過這個(gè)漏洞得知其他人在看什么節(jié)目、更改房內(nèi)飲料帳單，并跟著他們一起用飯店的電視上網(wǎng)，還可以設(shè)定喚醒服務(wù)，甚至退房。這個(gè)重大漏洞引起業(yè)界驚呼，Adam Laurie稱，只要隨身攜帶筆記本電腦和USB電視調(diào)頻器即可，竊取信息之多，讓Adam Laurie也驚詫不已。

“黑客應(yīng)不斷學(xué)習(xí)和實(shí)踐，挑戰(zhàn)自己的認(rèn)知，這樣他的收獲就會遠(yuǎn)超期望?！盇dam Laurie自稱，每當(dāng)?shù)诌_(dá)一個(gè)不同的時(shí)區(qū)，深夜里無事可做，但由于時(shí)差又無法入睡時(shí)，他通常都會玩弄酒店系統(tǒng)。“玩弄酒店系統(tǒng)是一件很好玩，也很有趣的事情，技藝高超的黑客必須不斷錘煉自己的技藝才能寶刀不老。”

智能電視可能受到更廣泛攻擊

Adam Laurie介紹，考慮到廣播特性和缺乏回傳路徑，事實(shí)上，傳統(tǒng)家庭普通電視更難保護(hù)?；ヂ?lián)網(wǎng)電視的 IP 服務(wù)可通過強(qiáng)大的密碼術(shù)和會話管理等進(jìn)行保護(hù)，但是由于這些電視普遍接入互聯(lián)網(wǎng)，所以也很容易受到廣泛的攻擊。安全專家必須得先發(fā)現(xiàn)這些問題，然后再采取實(shí)際行動(dòng)為電視和看電視的人提供保護(hù)。

對于SyScan360演講，Adam Laurie信心滿滿，對于是否會在入駐上海期間入侵電視，Adam Laurie只回答了兩個(gè)字：保密。

記者了解到，11月24日，由中國最大互聯(lián)網(wǎng)安全公司360公司主辦的2016 SyScan360國際前瞻信息安全會議將在上海隆重舉行，這將是國內(nèi)安全圈最后一場安全盛會。演講議題涵蓋Mac OS , iOS 、醫(yī)療物聯(lián)網(wǎng)設(shè)備安全、windows 內(nèi)核安全、最新的瀏覽器攻擊技術(shù)、銀行安全、芯片安全、數(shù)字電視安全、汽車安全等等，人工智能安全和用人工智能解決安全問題成為今年的SysCan360聚焦點(diǎn)。

對話Adam Laurie：

1、眾所周知，2005年，在Defcon安全專家會議中，您曾經(jīng)示范如何用電視侵入飯店系統(tǒng)。最后得到的資訊包括飯店住房率、房客姓名、他們的帳單、撥打外電的地點(diǎn)和停留時(shí)間。我們想知道這次您的破解高明之處?或者說通過破解能達(dá)到什么效果?

我必須得承認(rèn)這完全出乎我的意料!同許多類似攻擊一樣，那次攻擊也是從小漏洞入手，但能夠竊取到這么多的信息真的讓我很驚訝。每當(dāng)?shù)诌_(dá)一個(gè)不同的時(shí)區(qū)，深夜里無事可做，但由于時(shí)差又無法入睡時(shí)，我通常都會玩弄酒店系統(tǒng)。玩弄酒店系統(tǒng)是一件很好玩，也很有趣的事情，技藝高超的黑客必須不斷錘煉自己的技藝才能寶刀不老。黑客應(yīng)不斷學(xué)習(xí)和實(shí)踐，挑戰(zhàn)自己的認(rèn)知，這樣他的收獲就會遠(yuǎn)超期望。

2、我們了解到，您將介紹針對所有目前符合 “Freeview” 的標(biāo)準(zhǔn)英國電視臺的實(shí)際攻擊。這個(gè)漏洞存在在 MHEG 標(biāo)準(zhǔn)里(想下streroids的Teletext)， 給所有的數(shù)據(jù)服務(wù)包括BBC“紅色按鈕服務(wù)”賦予權(quán)力，所以影響到的是所有電視，不止新智能電視。對其他國家比如中國的電視是否適用?

目前采用 MHEG 標(biāo)準(zhǔn)的國家和地區(qū)有愛爾蘭、新西蘭、澳大利亞和中國香港，其中中國香港是唯一一個(gè)講中文的地區(qū)，但現(xiàn)在中國大陸正在試用一種叫做 HBBTV 的類似系統(tǒng)，我認(rèn)為這種系統(tǒng)存在著相似的漏洞。隨著交互式和互聯(lián)/智能電視的日益普及，最終全球所有電視很快都會遇到相似的問題。

3、據(jù)您估計(jì)，這個(gè)漏洞會影響到多少電視?

目前我認(rèn)為會有數(shù)千萬或甚至數(shù)億臺電視受到影響。但如果問題得不到解決，最終會有數(shù)十億臺電視受到影響。

4、目前中國市場上有很多電視，有數(shù)字電視、模擬電視、還有一批新的互聯(lián)網(wǎng)企業(yè)生產(chǎn)的互聯(lián)網(wǎng)電視，有的基于網(wǎng)絡(luò)傳輸信號，有的基于傳統(tǒng)有線傳輸信號，是否都能破解?在您看來新的依靠網(wǎng)絡(luò)傳輸信號的電視危險(xiǎn)還是傳統(tǒng)的電視危險(xiǎn)一些?

考慮到廣播特性和缺乏回傳路徑，傳統(tǒng)地面電視更難保護(hù)。互聯(lián)網(wǎng) IP 服務(wù)可通過強(qiáng)大的密碼術(shù)和會話管理等進(jìn)行保護(hù)，但正如前面所說的，由于它們是聯(lián)網(wǎng)的，所以也很容易受到廣泛的攻擊。我想我們必須得先發(fā)現(xiàn)這兩種系統(tǒng)的問題，然后再采取實(shí)際行動(dòng)為它們提供適當(dāng)?shù)谋Ｗo(hù)。

5、前不久美國發(fā)生互聯(lián)網(wǎng)知名網(wǎng)站斷網(wǎng)事件，媒體稱與智能硬件漏洞遭到攻擊有關(guān)，在您看來，智能硬件如何影響互聯(lián)網(wǎng)安全?

將物聯(lián)網(wǎng)設(shè)備用作攻擊平臺的做法帶來了革命性變化。真正的問題在于這些設(shè)備大多無人監(jiān)督且從不更新，一旦被部署了野外漏洞，在其剩余的使用壽命中都會一直是活躍的威脅。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。