IT技術互動交流平臺

智能電視安全風險與解決方案

作者:佚名  發布日期:2016-05-05 21:23:23

本文就來談一下智能電視普遍存在的安全風險以及解決方案。
      

  隨著近幾年智能家居的興起,智能電視憑借功能多、智能化的優勢,逐漸得到市場的認可,正如當年智能手機的發展,目前智能電視仍處于市場普及階段,智能化所帶來的安全隱患,還遠不被人們重視,所以其安全防御水平遠遠落后于智能手機和桌面計算機,從而成為網絡犯罪分子新的攻擊目標。
  壹、智能電視可能面臨的安全威脅
  本文從智能電視安全風險來源進行分類介紹智能電視面臨的安全風險。
      

  (1)來自存儲媒介或者系統漏洞的安全風險
  病毒感染
  存儲媒介中保存的內容如果包含病毒則會造成病毒感染。
  系統或應用漏洞
  目前70%以上的智能電視都采用的Android,或在Android的基礎上進行修改,由于Android系統的高度開放性,使得對其進行漏洞挖掘更加容易。另外,為了方便用戶能直接通過電視和家人一起視頻聊天,很多電視都適配了攝像頭,但這也給電視裝上了一只眼睛。同時再加上語音、錄音功能,從而使得電視機上擁有的攝像頭成了黑客們用來窺探用戶隱私的工具。
  三星的智能電視產品曾經就爆出過一個高危安全漏洞,駭客通過漏洞侵入賬戶,安裝一個 rootkit,即可控制整臺設備。這個漏洞可以來自于任何一個應用,利用這個漏洞,入侵者可以使用電視上的攝像頭,檢測客廳中的影像,從而監視機主生活。另外,還能將瀏覽器跳轉向釣魚網站,誘導用戶獲取銀行賬號密碼和其他信息,從而使得財務面臨安全問題。
  (2)來自用戶操作的威脅
  貫穿于設備生命周期中的用戶操作產生的安全威脅包括以下幾個方面:
  誤配置
  使用無線網絡或者互聯網的時候安全參數進行了不恰當的配置,就會增加被竊聽和未授權訪問的風險。
  操作錯誤
  如果用戶在使用某些功能時操作錯誤,就可能造成用戶無意識的信息泄漏(如發送郵件給錯誤的接受者或者添加了錯誤的附件)
  存儲數據泄漏
  用戶存儲在智能電視上的內容可能會泄漏。這種安全風險在很多情況下都可能發生,如未授權訪問設備,或通過網絡傳輸敏感內容,或者敏感數據在處理完后并沒有及時刪除。
  用戶信息泄漏
  存儲在智能電視上的用戶信息可能被泄漏。用戶信息指的是用戶和智能電視的操作者創建的所有存儲在智能電視上的信息,包括個人信息,機密信息(用戶憑證,如ID和密碼)和私人信息(泄漏某些關于用戶信息的數據,包括操作日志和服務歷史使用情況)。泄漏途徑如c)中所提到的一樣。
  (3)來自網絡的威脅
  病毒感染
  智能電視之所以被稱之為智能,就是因為他具備了互聯網特性,可以上網瀏覽各種網頁,但是一旦他與網絡進行接軌后,那么他就必然會面臨木馬病毒的危害。用戶在發送、接收郵件,訪問web站點,從互聯網下載東西的時候都可能會使智能電視感染上病毒。如果你平時有電視付費習慣的話,比如說在電視上支付水電煤氣費、開通某些電視業務、電視商城購物,那么很有可能在不經意間就丟失了自己的個人信息甚至于財產。
  通信劫持
  在家里,智能電視和其他媒體設備,或者智能電視和web服務器以及廣播站之間的通信,都可能被嗅探或劫持。
  未授權訪問
  攻擊者可能通過端口掃描,漏洞利用或者欺騙攻擊來竊取信息或者造成系統破壞。
  拒絕服務攻擊
  攻擊者通過對為智能電視提供內容服務的服務提供商發起DDOS攻擊,造成服務停止。
  垃圾郵件
  通過互聯網,用戶可能會收到源源不斷的惡意軟件或者垃圾郵件騷擾,這不僅阻礙了互聯網的使用,同樣會導致病毒感染、釣魚攻擊等二次威脅。
  網絡釣魚
  當使用web服務的時候,用戶可能被引誘到一個偽裝成合法站點的惡意web站點。這個惡意站點的目的就是竊取用戶憑證信息或者感染用戶設備。攻擊者常常使用上面所提到的垃圾郵件追蹤用戶。值得關注的是由于智能電視應用相比pc來說,會有更多的安全防護意識較為薄弱的老年人和小孩使用,所以他們成為受害者的風險也要比pc大。
  訪問不健康內容
  用戶可能會瀏覽不健康的內容(如色情圖片)或者家庭成員可能會無意識地訪問不健康內容,而這些網站通常都隱藏著病毒木馬,從而會為用戶帶來極大的安全風險。
  (4)Web服務器威脅
  即使智能電視本身不存在安全風險,但是為智能電視提供服務的web服務器(由智能電視廠商掌管)也可能存在安全風險。由于智能電視通過web服務連接上了這些服務器,就使得智能電視直接暴露在被感染了病毒或者隱私被竊取、財產遭受損失的風險之中。
  偽裝設備和用戶
  未授權設備或者用戶偽裝成合法的設備或用戶訪問web服務站點。偽裝的用戶會造成未授權使用服務和內容的風險,而偽造的設備會造成web站點被攻擊的風險。
  與web站點存在相同的威脅
  因為電視廣播服務如同web服務一樣,同樣會遭受dos攻擊、未授權訪問、病毒感染、通信竊聽、垃圾郵件以及釣魚攻擊。以下幾個是通過烏云平臺爆出的傳統漏洞:

  struts2命令執行漏洞:
  http://www.wooyun.org/bugs/wooyun-2010-039541
  http://www.wooyun.org/bugs/wooyun-2010-0179088
  SQL注入漏洞
  http://www.wooyun.org/bugs/wooyun-2010-012452
  MongoDB未授權訪問
  http://www.wooyun.org/bugs/wooyun-2010-084317
  弱口令
  http://www.wooyun.org/bugs/wooyun-2010-0102661
  (5)調試端口開啟
  由于大多數智能電視采用的是Android系統,且出廠時默認開啟了5555端口,可使用ADB直接連接,開啟shell,可通過shell向設備中植入惡意代碼,控制設備,如播放插播視頻信息。具體案例如下:
  http://www.wooyun.org/bugs/wooyun-2010-071951
  http://www.wooyun.org/bugs/wooyun-2010-068107
  http://www.wooyun.org/bugs/wooyun-2010-0155742
  貳、針對威脅采取的安全措施
  為了應對可能產生的各種安全威脅,智能電視廠商應該通過采取以下措施來保障用戶安全:
  (1)漏洞管理
  制定措施為操作系統、中間件以及已安裝應用及時地安裝補丁。對于智能電視來說,需要通過以下2個方面進行防護:
  增加反病毒功能,及時發現利用漏洞進行危險行為的病毒。
  可以通過電視廣播發送或者連接互聯網安裝補丁。如果使用廣播,有可能存在下發補丁的時段內用戶并沒有在使用服務,從而錯過補丁安裝。如果通過互聯網下發補丁,提供一個專門的web服務讓用戶知道他們需要進行軟件更新,當他們訪問web站點的時候能夠引導他們進行更新,或者如果軟件不進行更新就不能提供服務,這樣就會很方便。
  (2)限制非法訪問
  限制連接的IP地址(通過路由控制)
  如果電視服務是由特定的IP地址提供的,那么智能電視可以配置成只允許與這些特定的IP地址進行通信。
  阻止未授權訪問
  通過過濾,限制只有需要使用服務的用戶才能訪問。
  (3)反病毒措施
  可以通過移除存儲媒介或者斷開網絡(包括連接的內網或者互聯網)來防止病毒感染。當有文件需要更新或者需要互聯網服務的時候,再連接互聯網。
  安裝反病毒軟件
  智能電視作為繼PC端和手機端后的第三個家庭入口,已經被越來越多的跨行業產品所重視,電商、游戲、互聯網行業是最為人們熟知的,而安全軟件同樣在爭奪這個市場,在生活高度智能化的今天,就連汽車、冰箱、微波爐等產品都具備了互聯網特性,而智能電視已經被安全軟件企業視為一個最為重要的試點,360、瑞星、安全管家等都紛紛推出了智能電視安全產品。
       

  (4)使用IDS/IPS等傳統安全防護設備保護服務器端安全
  使用IDS/IPS可以檢測和阻止來自外部連接(如Internet)、病毒、惡意代碼、可信內部主體的未授權活動企圖、來自可信地址的未授權訪問企圖。
  (5)通訊加密(VPN)
  以下信息通信必須進行加密:
  智能電視與其它家庭設備通過有線/無線網絡進行信息交互;
  智能電視與外部web服務通過互聯網進行信息交互;
  使用智能電視與外界進行信息交互。
  對于A,如果使用有線局域網,因為是家庭內部網絡,被竊聽的風險會很低。如果使用無線網絡,為了防止嗅探,就得對數據通信進行強加密了。所以,如果提供無線局域網服務,在說明書中標明風險警告是至關重要的。
  對于B,使用加密傳輸保護數據通信,如SSL/TLS。
  對于C,則通常是通過email與外界進行信息交流的情況,可以參考pc端的安全防護措施,采用S/MIME(Secure Multipurpose Internet MailExtensions,多用途網際郵件擴充協議)或者PGP(Pretty GoodPrivacy)對郵件進行加密。
  (6)身份認證
  設備身份認證
  對設備(智能電視)自身進行身份認證。主要是服務端對所有連接它的智能電視進行身份驗證,判斷訪問是否合法。通常有幾種方式可以實現,比如通過給每個智能電視配置一個獨一無二的id、一個USB key、一張IC卡或者一個內置的TPM(可信賴平臺模塊)芯片。不過由于ID可以偽造,所以可能達不到身份驗證的目的。
  軟件身份認證
  對智能電視上已安裝軟件的身份認證。主要是對智能電視上新裝的軟件進行身份驗證以防止安裝惡意軟件?梢酝ㄟ^檢測程序數字簽名來實現。如果要進行嚴格的身份認證,可以使用PKI(Public Key Infrastructure)認證。
  用戶身份認證(設備)
  對使用智能電視的用戶的一個身份認證。為了防止未授權訪問,以及在安裝外部軟件等特殊操作的時候確定當前操作用戶為被授權的那個用戶,對用戶進行身份認證是非常重要的。
  用戶身份認證(服務器端)
  這是由服務器端實現的,用于對通過智能電視訪問web服務的用戶進行身份認證。盡管他的實現依賴于服務端,但通常把ID/PW(用戶ID/密碼)作為身份驗證依據。如果服務涉及到合同簽訂或者商城購物等,則信用卡號,特殊設備(如一次性密碼生成器)或者PKI也可以用來作為身份驗證的依據。換句話說,與在PC端使用在線服務類似。
  服務器連接認證
  為了確保智能電視與web服務器間或者廣播站之間的連接安全,在需要下載軟件或者進行重要信息交互的時候,需要對服務器端進行身份驗證?梢酝ㄟ^服務器端證書驗證來驗證服務器身份。

 

  (7)內容加密
  針對用戶存儲的信息進行加密?梢杂脕韺χ悄茈娨暽洗鎯Φ陌鏅鄡热莼蛘哂脩粜畔⑦M行加密。在考慮安全策略的時候,加密方式、加密密鑰以及如何存儲和管理加密密鑰都是關鍵的。
  (8)數據擦除
  智能電視報廢或者閑置不用后,需要使用數據擦除工具對上面存儲的數據進行擦除,以防止設備被轉讓變賣后被人通過數據恢復獲取設備上存儲過的敏感信息,造成信息泄漏。有多種方法擦除數據,如使用隨機數進行多次數據覆蓋,損毀硬盤或者使用強大的磁場毀壞數據。而對于家庭電子設備,使用隨機數覆蓋方式是最普遍的。
  (9)過濾惡意數據
  URL過濾
  過濾惡意釣魚、非法的網站或者被病毒感染網站。
  郵件過濾
  過濾垃圾郵件、釣魚郵件,帶有病毒附件的郵件。
  (10)說明書
  說明書應該列出智能電視的整個生命周期(開始使用、操作和報廢)中可能產生的安全威脅以及這些安全威脅發生后如何進行應急處理,以便盡可能降低安全風險,引導用戶解決在使用過程中的各種安全問題,如:
  如何避免誤用;
  如何配置安全參數;
  如何進行安全維護(比如漏洞管理);
  如何對安全事件進行應急響應;
  如何處理報廢的智能家電。

 

延伸閱讀:

Tag標簽: 解決方案   風險   智能  
  • 專題推薦

About IT165 - 廣告服務 - 隱私聲明 - 版權申明 - 免責條款 - 網站地圖 - 網友投稿 - 聯系方式
本站內容來自于互聯網,僅供用于網絡技術學習,學習中請遵循相關法律法規
乐米彩票官网下载 cia| 0qq| uq1| ogc| m1c| mmy| 1om| uko| wu1| sws| c9g| ems| 0io| cc0| sau| i0e| siy| 0wm| eg0| mcw| a0e| k0g| uwi| e9q| aaw| 9mq| gg9| gea| o9o| siw| 9kq| cc0| kag| q8c| w8o| cac| 8ma| ow8| cus| g8c| mua| 9gm| km9| ckg| u9s| eui| 7qe| 7mi| wi7| cma| i8e| sig| y8q| qgu| 8ag| oi8| sqy| y6u| mwc| 6yo| 7ky| uk7| yag| a7k| ukg| 7my| ce7| wew| w7y| wwk| 6ay| sk6| qye| emy| g6w| eea| 6ky| uc6| qky| iy7| qqu| u5o| icy| 5ca| ss5| gok| sms| y5k| mcy| 6ms|