piątek, 14 czerwca, 2024

Nasze serwisy:

Więcej

    Bitdefender ujawnia luki w Amazon Fire TV Stick i Insignia FireOS TV Series

    Zobacz również

    Urządzenia do przesyłania strumieniowego w ostatnich latach stają się coraz bardziej popularne – nie bez powodu. Przenośne, często aktualizowane i stosunkowo niedrogie w porównaniu z nowym inteligentnym telewizorem, urządzenia te oferują wygodny, ekonomiczny i konfigurowalny sposób dostępu do szerokiej gamy treści w zaciszu własnego domu. Inteligentne telewizory i urządzenia do przesyłania strumieniowego stanowią aż 20% wszystkich podłączonych urządzeń IoT, a potencjalne luki w oprogramowaniu sprzętowym mogą

    - Reklama -

    mieć wpływ na znaczną część użytkowników.

    Bitdefender ujawnia luki w Amazon Fire TV Stick i Insignia FireOS TV Series

    Jako twórca pierwszego na świecie centrum cyberbezpieczeństwa inteligentnego domu producent oprogramowania antywirusowego Bitdefender regularnie kontroluje popularny sprzęt IoT pod kątem luk w zabezpieczeniach, które mogą mieć wpływ na klientów, jeśli nie zostaną zabezpieczone. Dlatego niedawno opublikował raport z badań produktów Amazon Fire TV Stick i Insignia FireOS TV, który jest częścią szerszego programu i ma na celu rzucenie światła na bezpieczeństwo światowych bestsellerów w przestrzeni IoT. Badania ujawniają luki mające wpływ na następujące produkty i wersje:

    Insignia TV z wcześniejszymi wersjami FireOS6.2.9.5

    Fire TV Stick 3. gen. z wcześniejszymi wersjami FireOS7.6.3.3

     Uwaga: luki w zabezpieczeniach przedstawione w tym raporcie zostały w odpowiedzialny sposób ujawnione dostawcy w ramach programu Bug Bounty. Amazon wydał poprawki dotyczące tych niedociągnięć na urządzeniach Fire TV i zdalnej aplikacji Fire TV i nie ma dowodów, że ten problem został wykorzystany przeciwko klientom. Producent oprogramowania antywirusowego Bitdefender ściśle współpracuje z zespołem Amazon Fire TV na wszystkich etapach ujawniania luk w zabezpieczeniach.

    Luki w zabezpieczeniach w skrócie

    • Nieautoryzowane uwierzytelnianie poprzez brutalne wymuszanie kodu PIN sieci lokalnej. Luka ta została spowodowana niewłaściwą implementacją protokołu wymiany kluczy uwierzytelnionych hasłem przez Juggling (lub J-PAKE), co mogło spowodować przejęcie przez atakujących kontroli nad urządzeniem. (CVE-2023-1385)
    • Luka w funkcji setMediaSource w serwisie amzn.thin.pl umożliwiła wykonanie dowolnego kodu Javascript. Można go użyć do załadowania dowolnych adresów URL HTTP w przeglądarce internetowej. (CVE-2023-1384)
    • Luka w zabezpieczeniach funkcji exchangeDeviceServices w usłudze amzn.dmgr umożliwiła atakującemu zarejestrowanie usług, które są dostępne tylko lokalnie. (CVE-2023-1383)

    Harmonogram ujawnień

    • 16 grudnia 2022 — Badacze Bitdefender przesyłają wyniki do programu Bug Bounty.
    • 19 grudnia 2022 – Program nagród za ujawnienie błędów przesyła raport do sprawdzenia przez dostawcę.
    • 20 grudnia 2022 – Zespół Amazon potwierdza ustalenia i rozpoczyna wewnętrzne dochodzenie.
    • 12 kwietnia 2023 – Amazon dostarcza poprawkę publicznie.
    • 13 kwietnia 2023 – Za odkrycie wyznaczono nagrodę.
    • 2 maja 2023 – Ten raport zostaje opublikowany w ramach skoordynowanego ujawnienia.

    Najlepsze praktyki dotyczące urządzeń IoT

    Użytkownicy domowi powinni uważnie monitorować urządzenia IoT i izolować je w jak największym stopniu od sieci lokalnej. Można to zrobić, konfigurując dedykowaną sieć wyłącznie dla urządzeń IoT. Ponadto warto także regularnie sprawdzać dostępność nowszego oprogramowania układowego i aktualizować urządzenia, gdy tylko dostawca wyda nowe wersje – doradza Mariusz Politowicz z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.

    guest
    0 komentarzy
    Inline Feedbacks
    View all comments
    - Reklama -

    Najnowsze

    T-Mobile Polska zdobył trzy nagrody w prestiżowych konkursach HR

    Jako T-Mobile Polska jesteśmy w gronie najlepszych pracodawców w naszym kraju. Zależy nam na naszych pracownikach, dlatego realizujemy różnorodne...