cergeiydin
Советы ФБР ( 8 фото + 1 видео )
Чем телевизор умнее, тем глупее его хозяин? Нет, но клей изоленту на камеру и микрофон, пока не поздно!
Об угрозе взлома умных телевизоров написано уже немало, и этот материал точно бы не вышел, если бы не одна деталь.
Ранее предупреждения об опасности мы слышали от производителей антивирусного обеспечения и продвинутых пользователей, но впервые в истории человечества заклеить изолентой камеру умного телевизора рекомендует ФБР, государственная структура, активно сотрудничающая с большинством стран мира. Аргументы правоохранительной организации, касающиеся определения опасности умного телевизора, неизбежно относят к зоне риска вообще все продукты, независимо от производителя и страны пребывания. Заклеивать камеру телевизора предлагают, если:
Понятие «умный телевизор» имеет довольно расплывчатые рамки, сюда можно отнести как цельный продукт «все в одном корпусе», так и любительские сборки, такие как «телевизор + Chromecast», «телевизор + игровая приставка», «телевизор + Android-приставка», «телевизор + HTPC (маленький ПК)» и даже «телевизор + домашний сервер». Большинство сборок, основанных на подключении к телевизору Windows-ПК или Android-приставок, защищены ничуть не меньше, чем наши смартфоны. По крайней мере, если их владельцы понимают, что они делают, а если не понимают, то установка хорошей антивирусной программы решает большинство проблем. Но когда мы говорим об умном телевизоре на основе собственной операционной системы либо с серьезными ограничениями для тонкой настройки, то в зоне риска «для всех» остаются только готовые умные телевизоры и медиаплееры, такие как небезызвестный Google Chromecast или умные колонки. Звучит неожиданно, не так ли?
Google Chromecast
У Google Chromecast нет камеры, через которую вредитель мог бы подглядеть что-нибудь интересное. Однако есть другие угрозы и смыслы в перехвате управления этим устройством. Среди таких угроз – трансляция на экран телевизора нелегальной рекламы, террористического контента, дискредитация властей и т.д. Недавно известные хакеры Жираф и Юзер (Giraffe и J3ws3r) провели массовую принудительную трансляцию тысячам пользователей Chromecast.
Волею судеб и из-за неправильной настройки домашних роутеров стики от Google оказались видимы в глобальной сети, где управление над ними было немедленно перехвачено двумя активистами. Содержимое сообщения двух хакеров размещено выше, это своего рода безобидное предупреждение об опасности неграмотных интернет-подключений. Спустя короткое время компания Google без остатка удалила трансляцию на YouTube, так что и следов не найти.
Но гораздо более опасной вещью является взлом всего дома и даже машины, всех устройств, у которых включен голосовой ввод, с помощью Google Chromecast.
В видеоролике выше доступно показано, что после получения контроля над Chromecast можно через динамик телевизора отдавать команды достаточно громкие, чтобы их услышали умная кофеварка и дверной замок. Дальнейшие действия злоумышленника понятны – это получение контроля над всеми элементами умного дома, и вот перед «вором» сами собой открываются двери, фомка уже не нужна.
Колонка Amazon Echo с помощницей Alexa
Наряду со вполне ожидаемыми и по-своему логичными угрозами со стороны преступников свинью может подложить и вполне себе известный А-бренд. В феврале прошлого года имел место незапланированный спрос в электронном магазине Amazon, который до сих пор покрыт тайной. Дабы ни у кого не возникло желания отрубить автору руки, сразу замечу, что все дальнейшее в этом блоке – мои личные домыслы, которые не могу подтвердить в связи с тем, что вовремя не догадался сделать скриншоты. Другими словами, относитесь к этому как к слухам. Одна из богатейших компаний мира Amazon известна тем, что предоставляет свои торговые площади всем, независимо от страны, вероисповедания и политических взглядов. Таким образом, нет ничего удивительного в том, что продукты из Китая попадают в Канаду, и не куда-то на квартиру, а в студенческий кампус (общежитие). Вопросы вызывают только характер товаров и политика Amazon, да, собственно, и сам факт того, что студенты эти товары не заказывали.
Тот самый красный плащ.
Неизвестный щедрый отправитель завалил студентов новенькими фотоаппаратами и секс-игрушками, а вишенкой на торте стал присланный красный плащ. Все вещи приходили в состоянии «оплачено», но не содержали в комплекте каких-либо накладных или чеков. В первоначальном расследовании, начатом сразу после жалоб студентов, говорилось о вине умных колонок Amazon, которые сами покупали вещи, выхватывая и интерпретируя слова из радио и телепередач. Чуть позже информация о вине Amazon исчезла, и было придумано самое нелепое на свете объяснение произошедшему. По исправленной версии, китайские производители секс-игрушек и камер решили захватить рынок Канады, отправляя подарочные наборы со своей продукцией невинным студентам, которые затем должны были рекомендовать эти товары своим друзьям. И вина китайских продавцов состоит только в том, что они никого не предупредили о своих намерениях. И то и другое неправда, китайские магазины и производители не дураки, а студенты не невинны. И мы также помним «договорняки» между Apple и владельцами сгоревших iPhone и не видим причин, почему Amazon не должна вести себя иначе, скрывая провалы своих флагманских продуктов. Предлагаю каждому сделать свой собственный вывод, но не делиться им в комментариях.
Интересно, поймет ли Alexa пони?
Есть и менее конспирологические вещи, полностью доказанные и подтвержденные самой компанией Amazon. Например, известный случай, когда колонка среагировала на произнесенное слово «Alexa» в разговоре, который ее не касался. Прислушавшись к разговору, Alexa сделала свои выводы и начала транслировать беседу постороннему человеку, которого нашла в списке контактов. В данном конкретном случае все закончилось хорошо, потому что этим человеком оказался общий знакомый разговаривающих, но что случилось бы, попади эта информация третьим лицам?
Умные телевизоры
Наверное, самым известным примером попыток подслушивания и подглядывания за хозяином дома с помощью телевизора является попытка внедрения эксплойта «Плачущий ангел» (предзагрузчик, незаметно перехватывающий управление ОС, подобный пиратским «активаторам» Windows), произведенная ЦРУ и МИ5 в отношении телевизоров Samsung серии F8000.
Хорошая (для спецслужбы) идея обернулась провалом и всемирным позором после публикации соответствующих документов на портале Wikileaks. Эксплойты ЦРУ и МИ5 были слиты на ресурс GitHub и разобраны энтузиастами. После установки данного ПО умный телевизор превращается во всевидящее око, всеслышащее ухо и способен вести трансляцию на удаленный сервер. Эксплойт запрещает обновление ОС, сбрасывание до заводских настроек, отключение от сети Wi-Fi, а при попытке выключения (с пульта) отправляет телевизор в глубокий сон, при этом не отключая камеру, микрофон и сетевую карту. В публичное пространство утекла информация о взломе только одной серии телевизоров, но сколько их на самом деле? Никто не знает ответа.
Слежка со стороны ЦРУ, МИ5 или ФСБ для добропорядочного гражданина любой страны неопасна, но есть ряд моментов, которые напрягают:
— Если МИ5 смогли, то и сторонний хакер сможет;
— Запрет обновлений ОС как следствие работы эксплойта превращает телевизор «в тыкву», ведь большинство его сервисов без обновлений перестают работать.
В России
Российские частные квартиры с установленными в них телевизорами и медиаплеерами находятся в относительной безопасности. Относительной, потому что наши граждане нередко отважны и одновременно не осведомлены о последствиях. Они учатся сами настраивать роутеры, ставят альтернативные прошивки на умные телевизоры и плееры, не боятся скачивать ПО с безымянных файлообменников. Это состояние души, приводящее в большинстве случаев к поломкам техники или делающее возможным взлом со стороны, очень метко описал Салтыков-Щедрин:
Чего-то хотелось: не то конституции, не то севрюжины с хреном, не то кого-нибудь ободрать
Иными словами, все наши беды проистекают от нас самих – сами подставляемся, сами расхлебываем. На противоположной от российских преступников стороне находятся российские же спецслужбы, лишенные какой-либо технической возможности делать с телевизорами то же самое, что их иностранные коллеги.
Изображение Wikileaks, из раздела про российское «наблюдение за гражданами» в рамках концепции СОРМ3.
Исходя из такой постановки вопроса новыми красками заиграли и «закон Яровой», и свеженький закон «Об обеспечении потребителям возможности использования предварительно установленных российских программ для электронных вычислительных машин при продаже отдельных видов технически сложных товаров». С текстом закона и его продвижением можно ознакомиться здесь. От себя хочется заметить, что замена иностранного эксплойта своим имеет смысл, только если он не превращает умный телевизор в кирпич. И тогда это действительно будет защитой прав потребителя. Внимательно прочитайте закон, там нет никаких ограничений для описанных сценариев.
На данный же момент времени опасности несанкционированной слежки подвергаются только владельцы ПК (без антивируса), Google Chromecast и Android-приставок с кастомными прошивками неизвестного происхождения.
Заключение
Ранее мы уже не раз обсуждали тему безопасности «умных» устройств, а в сети можно встретить инструкции по взлому даже такой приземленной вещи, как термостат, входящий в комплекс устройств «умный дом». И, как видим, новые дыры в безопасности появляются гораздо быстрее, чем выходят заплатки для старых. В такой среде обитания есть только три возможных пути:
Об угрозе взлома умных телевизоров написано уже немало, и этот материал точно бы не вышел, если бы не одна деталь.
Ранее предупреждения об опасности мы слышали от производителей антивирусного обеспечения и продвинутых пользователей, но впервые в истории человечества заклеить изолентой камеру умного телевизора рекомендует ФБР, государственная структура, активно сотрудничающая с большинством стран мира. Аргументы правоохранительной организации, касающиеся определения опасности умного телевизора, неизбежно относят к зоне риска вообще все продукты, независимо от производителя и страны пребывания. Заклеивать камеру телевизора предлагают, если:
- Владелец не знает или не умеет пользоваться всеми функциями телевизора;
- У телевизора нельзя отключить камеру и микрофон или изменить базовые настройки безопасности;
- Информация о политике безопасности производителя недоступна или непонятна.
Понятие «умный телевизор» имеет довольно расплывчатые рамки, сюда можно отнести как цельный продукт «все в одном корпусе», так и любительские сборки, такие как «телевизор + Chromecast», «телевизор + игровая приставка», «телевизор + Android-приставка», «телевизор + HTPC (маленький ПК)» и даже «телевизор + домашний сервер». Большинство сборок, основанных на подключении к телевизору Windows-ПК или Android-приставок, защищены ничуть не меньше, чем наши смартфоны. По крайней мере, если их владельцы понимают, что они делают, а если не понимают, то установка хорошей антивирусной программы решает большинство проблем. Но когда мы говорим об умном телевизоре на основе собственной операционной системы либо с серьезными ограничениями для тонкой настройки, то в зоне риска «для всех» остаются только готовые умные телевизоры и медиаплееры, такие как небезызвестный Google Chromecast или умные колонки. Звучит неожиданно, не так ли?
Google Chromecast
У Google Chromecast нет камеры, через которую вредитель мог бы подглядеть что-нибудь интересное. Однако есть другие угрозы и смыслы в перехвате управления этим устройством. Среди таких угроз – трансляция на экран телевизора нелегальной рекламы, террористического контента, дискредитация властей и т.д. Недавно известные хакеры Жираф и Юзер (Giraffe и J3ws3r) провели массовую принудительную трансляцию тысячам пользователей Chromecast.
Волею судеб и из-за неправильной настройки домашних роутеров стики от Google оказались видимы в глобальной сети, где управление над ними было немедленно перехвачено двумя активистами. Содержимое сообщения двух хакеров размещено выше, это своего рода безобидное предупреждение об опасности неграмотных интернет-подключений. Спустя короткое время компания Google без остатка удалила трансляцию на YouTube, так что и следов не найти.
Но гораздо более опасной вещью является взлом всего дома и даже машины, всех устройств, у которых включен голосовой ввод, с помощью Google Chromecast.
В видеоролике выше доступно показано, что после получения контроля над Chromecast можно через динамик телевизора отдавать команды достаточно громкие, чтобы их услышали умная кофеварка и дверной замок. Дальнейшие действия злоумышленника понятны – это получение контроля над всеми элементами умного дома, и вот перед «вором» сами собой открываются двери, фомка уже не нужна.
Колонка Amazon Echo с помощницей Alexa
Наряду со вполне ожидаемыми и по-своему логичными угрозами со стороны преступников свинью может подложить и вполне себе известный А-бренд. В феврале прошлого года имел место незапланированный спрос в электронном магазине Amazon, который до сих пор покрыт тайной. Дабы ни у кого не возникло желания отрубить автору руки, сразу замечу, что все дальнейшее в этом блоке – мои личные домыслы, которые не могу подтвердить в связи с тем, что вовремя не догадался сделать скриншоты. Другими словами, относитесь к этому как к слухам. Одна из богатейших компаний мира Amazon известна тем, что предоставляет свои торговые площади всем, независимо от страны, вероисповедания и политических взглядов. Таким образом, нет ничего удивительного в том, что продукты из Китая попадают в Канаду, и не куда-то на квартиру, а в студенческий кампус (общежитие). Вопросы вызывают только характер товаров и политика Amazon, да, собственно, и сам факт того, что студенты эти товары не заказывали.
Тот самый красный плащ.
Неизвестный щедрый отправитель завалил студентов новенькими фотоаппаратами и секс-игрушками, а вишенкой на торте стал присланный красный плащ. Все вещи приходили в состоянии «оплачено», но не содержали в комплекте каких-либо накладных или чеков. В первоначальном расследовании, начатом сразу после жалоб студентов, говорилось о вине умных колонок Amazon, которые сами покупали вещи, выхватывая и интерпретируя слова из радио и телепередач. Чуть позже информация о вине Amazon исчезла, и было придумано самое нелепое на свете объяснение произошедшему. По исправленной версии, китайские производители секс-игрушек и камер решили захватить рынок Канады, отправляя подарочные наборы со своей продукцией невинным студентам, которые затем должны были рекомендовать эти товары своим друзьям. И вина китайских продавцов состоит только в том, что они никого не предупредили о своих намерениях. И то и другое неправда, китайские магазины и производители не дураки, а студенты не невинны. И мы также помним «договорняки» между Apple и владельцами сгоревших iPhone и не видим причин, почему Amazon не должна вести себя иначе, скрывая провалы своих флагманских продуктов. Предлагаю каждому сделать свой собственный вывод, но не делиться им в комментариях.
Интересно, поймет ли Alexa пони?
Есть и менее конспирологические вещи, полностью доказанные и подтвержденные самой компанией Amazon. Например, известный случай, когда колонка среагировала на произнесенное слово «Alexa» в разговоре, который ее не касался. Прислушавшись к разговору, Alexa сделала свои выводы и начала транслировать беседу постороннему человеку, которого нашла в списке контактов. В данном конкретном случае все закончилось хорошо, потому что этим человеком оказался общий знакомый разговаривающих, но что случилось бы, попади эта информация третьим лицам?
Умные телевизоры
Наверное, самым известным примером попыток подслушивания и подглядывания за хозяином дома с помощью телевизора является попытка внедрения эксплойта «Плачущий ангел» (предзагрузчик, незаметно перехватывающий управление ОС, подобный пиратским «активаторам» Windows), произведенная ЦРУ и МИ5 в отношении телевизоров Samsung серии F8000.
Хорошая (для спецслужбы) идея обернулась провалом и всемирным позором после публикации соответствующих документов на портале Wikileaks. Эксплойты ЦРУ и МИ5 были слиты на ресурс GitHub и разобраны энтузиастами. После установки данного ПО умный телевизор превращается во всевидящее око, всеслышащее ухо и способен вести трансляцию на удаленный сервер. Эксплойт запрещает обновление ОС, сбрасывание до заводских настроек, отключение от сети Wi-Fi, а при попытке выключения (с пульта) отправляет телевизор в глубокий сон, при этом не отключая камеру, микрофон и сетевую карту. В публичное пространство утекла информация о взломе только одной серии телевизоров, но сколько их на самом деле? Никто не знает ответа.
Слежка со стороны ЦРУ, МИ5 или ФСБ для добропорядочного гражданина любой страны неопасна, но есть ряд моментов, которые напрягают:
— Если МИ5 смогли, то и сторонний хакер сможет;
— Запрет обновлений ОС как следствие работы эксплойта превращает телевизор «в тыкву», ведь большинство его сервисов без обновлений перестают работать.
В России
Российские частные квартиры с установленными в них телевизорами и медиаплеерами находятся в относительной безопасности. Относительной, потому что наши граждане нередко отважны и одновременно не осведомлены о последствиях. Они учатся сами настраивать роутеры, ставят альтернативные прошивки на умные телевизоры и плееры, не боятся скачивать ПО с безымянных файлообменников. Это состояние души, приводящее в большинстве случаев к поломкам техники или делающее возможным взлом со стороны, очень метко описал Салтыков-Щедрин:
Чего-то хотелось: не то конституции, не то севрюжины с хреном, не то кого-нибудь ободрать
Иными словами, все наши беды проистекают от нас самих – сами подставляемся, сами расхлебываем. На противоположной от российских преступников стороне находятся российские же спецслужбы, лишенные какой-либо технической возможности делать с телевизорами то же самое, что их иностранные коллеги.
Изображение Wikileaks, из раздела про российское «наблюдение за гражданами» в рамках концепции СОРМ3.
Исходя из такой постановки вопроса новыми красками заиграли и «закон Яровой», и свеженький закон «Об обеспечении потребителям возможности использования предварительно установленных российских программ для электронных вычислительных машин при продаже отдельных видов технически сложных товаров». С текстом закона и его продвижением можно ознакомиться здесь. От себя хочется заметить, что замена иностранного эксплойта своим имеет смысл, только если он не превращает умный телевизор в кирпич. И тогда это действительно будет защитой прав потребителя. Внимательно прочитайте закон, там нет никаких ограничений для описанных сценариев.
На данный же момент времени опасности несанкционированной слежки подвергаются только владельцы ПК (без антивируса), Google Chromecast и Android-приставок с кастомными прошивками неизвестного происхождения.
Заключение
Ранее мы уже не раз обсуждали тему безопасности «умных» устройств, а в сети можно встретить инструкции по взлому даже такой приземленной вещи, как термостат, входящий в комплекс устройств «умный дом». И, как видим, новые дыры в безопасности появляются гораздо быстрее, чем выходят заплатки для старых. В такой среде обитания есть только три возможных пути:
- Не пользоваться «умными» телевизорами и приставками.
- Пользоваться ими и верить только в хорошее.
- Пользоваться умными телевизорами и приставками только после заклеивания изолентой микрофонов, камер и других органов чувств (если они есть).
Взято: Тут
792