Bitdefender ujawnia luki w Amazon Fire TV Stick i Insignia FireOS TV Series

Dodał: Monika Kowalczewska - opublikowano: 2023-05-08 14:18 - czytano: 343 razy - dodaj komentarz

Urządzenia do przesyłania strumieniowego w ostatnich latach stają się coraz bardziej popularne – nie bez powodu. Przenośne, często aktualizowane i stosunkowo niedrogie w porównaniu z nowym inteligentnym telewizorem, urządzenia te oferują wygodny, ekonomiczny i konfigurowalny sposób dostępu do szerokiej gamy treści w zaciszu własnego domu. Inteligentne telewizory i urządzenia do przesyłania strumieniowego stanowią aż 20% wszystkich podłączonych urządzeń IoT, a potencjalne luki w oprogramowaniu sprzętowym mogą

REKLAMA

mieć wpływ na znaczną część użytkowników.

Bitdefender ujawnia luki w Amazon Fire TV Stick i Insignia FireOS TV Series

Jako twórca pierwszego na świecie centrum cyberbezpieczeństwa inteligentnego domu producent oprogramowania antywirusowego Bitdefender regularnie kontroluje popularny sprzęt IoT pod kątem luk w zabezpieczeniach, które mogą mieć wpływ na klientów, jeśli nie zostaną zabezpieczone. Dlatego niedawno opublikował raport z badań produktów Amazon Fire TV Stick i Insignia FireOS TV, który jest częścią szerszego programu i ma na celu rzucenie światła na bezpieczeństwo światowych bestsellerów w przestrzeni IoT. Badania ujawniają luki mające wpływ na następujące produkty i wersje:

Insignia TV z wcześniejszymi wersjami FireOS6.2.9.5

Fire TV Stick 3. gen. z wcześniejszymi wersjami FireOS7.6.3.3

Uwaga: luki w zabezpieczeniach przedstawione w tym raporcie zostały w odpowiedzialny sposób ujawnione dostawcy w ramach programu Bug Bounty. Amazon wydał poprawki dotyczące tych niedociągnięć na urządzeniach Fire TV i zdalnej aplikacji Fire TV i nie ma dowodów, że ten problem został wykorzystany przeciwko klientom. Producent oprogramowania antywirusowego Bitdefender ściśle współpracuje z zespołem Amazon Fire TV na wszystkich etapach ujawniania luk w zabezpieczeniach.

Luki w zabezpieczeniach w skrócie

Nieautoryzowane uwierzytelnianie poprzez brutalne wymuszanie kodu PIN sieci lokalnej. Luka ta została spowodowana niewłaściwą implementacją protokołu wymiany kluczy uwierzytelnionych hasłem przez Juggling (lub J-PAKE), co mogło spowodować przejęcie przez atakujących kontroli nad urządzeniem. (CVE-2023-1385)
Luka w funkcji setMediaSource w serwisie amzn.thin.pl umożliwiła wykonanie dowolnego kodu Javascript. Można go użyć do załadowania dowolnych adresów URL HTTP w przeglądarce internetowej. (CVE-2023-1384)
Luka w zabezpieczeniach funkcji exchangeDeviceServices w usłudze amzn.dmgr umożliwiła atakującemu zarejestrowanie usług, które są dostępne tylko lokalnie. (CVE-2023-1383)

Harmonogram ujawnień

16 grudnia 2022 — Badacze Bitdefender przesyłają wyniki do programu Bug Bounty.
19 grudnia 2022 – Program nagród za ujawnienie błędów przesyła raport do sprawdzenia przez dostawcę.
20 grudnia 2022 – Zespół Amazon potwierdza ustalenia i rozpoczyna wewnętrzne dochodzenie.
12 kwietnia 2023 – Amazon dostarcza poprawkę publicznie.
13 kwietnia 2023 – Za odkrycie wyznaczono nagrodę.
2 maja 2023 – Ten raport zostaje opublikowany w ramach skoordynowanego ujawnienia.

Najlepsze praktyki dotyczące urządzeń IoT

- Użytkownicy domowi powinni uważnie monitorować urządzenia IoT i izolować je w jak największym stopniu od sieci lokalnej. Można to zrobić, konfigurując dedykowaną sieć wyłącznie dla urządzeń IoT. Ponadto warto także regularnie sprawdzać dostępność nowszego oprogramowania układowego i aktualizować urządzenia, gdy tylko dostawca wyda nowe wersje – doradza Mariusz Politowicz z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.

Źródło: Marken Systemy Antywirusowe

Poleć artykuł

Wydrukuj artykuł

Aktualna ocena: 0.00

Dodaj komentarz:

Znajdź nas na Facebook'u

GSMService.pl

Najczęściej czytane

Najczęściej komentowane

Zobacz również