Smart TV : Une autre façon pour les attaquants d'entrer par effraction dans votre maison?

Avec leurs écrans à haute résolution, leurs caméras, leurs microphones et leurs interfaces innovantes orientées vers une meilleure expérience utilisateur, les smart TV, ou téléviseurs intelligents, ont trouvé leur place dans de nombreux foyers. Elles sont devenues si populaires que, selon Statista, plus de 114 millions de téléviseurs intelligents ont été vendus dans le monde en 2018 et les téléviseurs intelligents représentent la majorité des téléviseurs vendus ces jours-ci.

En outre, les consommateurs ont également la possibilité de transformer des téléviseurs ordinaires avec entrée HDMI en téléviseurs « intelligents », en les connectant à des dispositifs de streaming externes. Trois des dispositifs de streaming les plus connus sont Google Chromecast, Amazon's Fire TV, et Apple TV. On trouve néanmoins des douzaines de boîtiers TV ou de boîtiers de streaming qui offrent des fonctionnalités similaires sur le marché.

Il n'est pas surprenant qu'Android TV - qui englobe à la fois les implémentations Android pures et les versions modifiées par le fabricant - soit le système d'exploitation le plus populaire pour les smart TV. Avec Android et Android TV partageant la même architecture de base, de nombreuses souches de logiciels malveillants ciblant votre smartphone ou tablette sous Android sont tout aussi capables de causer des dégâts sur votre téléviseur compatible Internet.

Comment les téléviseurs intelligents peuvent-ils être compromis?

Les cybercriminels sont généralement motivés par des motifs financiers. Cela signifie qu'ils veulent de l'information qu'ils peuvent vendre, des données qu'ils peuvent utiliser pour faire chanter les gens, du matériel qu'ils peuvent détourner ou une puissance informatique qu'ils peuvent exploiter. Les téléviseurs intelligents pourraient offrir toutes ces possibilités, ce qui en ferait des cibles attrayantes.

Il existe un arsenal d'outils que les agresseurs peuvent combiner et utiliser pour faire des ravages dans la vie numérique - et réelle - d'une victime. Les logiciels malveillants, l'ingénierie sociale, les vulnérabilités, les paramètres erronés ou faibles et les attaques physiques contre les téléviseurs intelligents dans les espaces publics comptent parmi les techniques les plus couramment utilisées pour prendre le contrôle de ces appareils.

Certes, la sécurité d'Android s'est améliorée depuis ses débuts. La plate-forme, lancée il y a plus d'une décennie, est maintenant plus résistante aux exploits, ses techniques de bac à sable ont été améliorées et sa surface d'attaque a été réduite grâce à la limitation du nombre de processus exécutés avec les privilèges « root ».

Néanmoins, son caractère open-source et son énorme popularité, ainsi que le processus de validation imparfait des applications Google Play, ont fait de la plate-forme et de ses utilisateurs une cible attrayante. Avec l'expansion d'Android dans le domaine de l'Internet des Objets (IdO), les risques vont clairement au-delà des téléphones mobiles.

Logiciels malveillants

Il y a eu des cas où des téléviseurs intelligents ont été la proie de rançongiciels semblables à Simplocker et au « police virus » - des menaces qui ordonnent aux victimes de payer afin de récupérer l'accès à leurs appareils. Pendant ce temps, en 2018, un ver connu sous le nom ADB.Miner a détourné la puissance de calcul de milliers d'appareils Android, y compris de nombreux téléviseurs intelligents basés sur Android, et les a utilisés pour extraire des pièces numériques pour les attaquants. Cette menace est un exemple de la complexité croissante des logiciels malveillants conçus pour l'exploitation des cryptomonnaies, qui permettent de se propager et de s'installer sur les appareils Android en exploitant les ports de débogage ouverts.

Pour compliquer les choses encore plus, de nombreux utilisateurs root leurs appareils et d'installer des logiciels de l'extérieur de Google Play Store pour Android TV. Une fois qu'un périphérique est rooté, une application peut s'exécuter librement et, si elle est malveillante, elle peut tirer parti des permissions élevées pour voler des informations des comptes d'autres applications, exécuter un enregistreur de frappe ou neutraliser les mesures de sécurité du système dans son ensemble.

Mauvaise configuration

Comme nous l'avons déjà mentionné, une autre menace potentiellement importante est liée à la mauvaise configuration de votre smart TV. Cela pourrait être la faute du fournisseur, qui a modifié le système d'exploitation sous-jacent pour y ajouter de nouvelles fonctionnalités, ou cela pourrait très bien être dû à votre propre négligence, ou cela pourrait être une combinaison des deux.

Les moyens les plus courants de mauvaise configuration de l'appareil qui finissent par préparer le terrain pour une cyberattaque comprennent le maintien des ports ouverts, l'utilisation de protocoles non sécurisés, l'activation de mécanismes de débogage, le recours à des mots de passe défectueux ou par défaut (ou l'absence totale de mots de passe), ainsi que l'utilisation de services non nécessaires et, en conséquence, l'expansion de votre surface d'attaque.

De peur d'être oublié, l'insécurité des paramètres a ouvert la voie à l'éclosion d'ADB.Miner, alors que le ver scannait les périphériques avec leur Android Debug Bridge (ADB) ouvert aux connexions à distance.

Vulnérabilités

Les téléviseurs intelligents sont également connus pour souffrir de failles de sécurité qui peuvent en faire des proies faciles pour les pirates informatiques. Cela inclut les failles qui permettent de contrôler certains modèles de télévision à distance en utilisant des API publiques ou des vulnérabilités qui permettent aux pirates d'exécuter des commandes arbitraires sur le système.

D'autres attaques de preuve de concept ou attaques réelles reposaient sur l'utilisation des commandes HbbTV (Hybrid Broadcast Broadband TV) pour obtenir les droits d'administrateur et exécuter des actions malveillantes. Il n'est pas difficile de trouver d'autres exemples, et l'un de nos articles précédents en a énuméré une foule.

Le fait que les téléviseurs soient dotés d'assistants vocaux intégrés et reliés à divers capteurs IoD ouvre la voie à un autre vecteur d'attaque potentiel. La grande quantité d'informations qu'ils traitent et le fait qu'ils sont des plaques tournantes de capteurs sans fin ne font que renforcer leur attrait pour les cybercriminels.

Attaques physiques via les ports USB

Bien que les vulnérabilités puissent être corrigées et que les utilisateurs puissent s'éduquer pour éviter de tomber dans les escroqueries, de nombreux téléviseurs se retrouvent encore dans des espaces vulnérables. Les endroits où ils sont physiquement accessibles aux personnes de l'extérieur, comme les salles d'attente à l'extérieur des bureaux ou les salons privés utilisés pour des événements auxquels assistent des invités qui sont en fait des inconnus.

Par exemple, les ports USB peuvent être utilisés pour exécuter des scripts malveillants ou exploiter des vulnérabilités. Ceci peut être fait rapidement et facilement en utilisant certains gadgets, comme le fameux (ou tristement célèbre) Bash Bunny de Hak5 et son prédécesseur, le Rubber Ducky, ou tout autre matériel avec des fonctionnalités similaires. Et – surprise! - ils ne sont pas particulièrement compliqués ou coûteux à créer à partir de zéro, non plus.

Avec ces gadgets entre les mains, les attaquants peuvent automatiser un large éventail d'actions malveillantes basées sur l'interaction avec l'interface utilisateur et lancer une attaque en quelques secondes en branchant simplement un périphérique qui ressemble à une clé USB.

Ingénierie sociale

D'une manière générale, l'ingénierie sociale reste au cœur de nombreuses campagnes visant à voler des informations personnelles, distribuer des logiciels malveillants ou exploiter des failles de sécurité.

Il n'y a pas de télévision intelligente qui ne soit pas équipée d'un client de messagerie et d'un navigateur Web, c'est pourquoi les appareils ne sont pas à l'abri des risques tels que l’hameçonnage et autres types de fraude en ligne qui sont généralement associés uniquement aux ordinateurs et smartphones.

Conclusion

Au fur et à mesure que les téléviseurs intelligents gagnent en fonctionnalités, la quantité et la sensibilité des données qu'ils traitent deviennent de plus en plus attrayantes pour les cybercriminels. Les téléviseurs peuvent être utilisés à mauvais espionnage pour espionner les utilisateurs avec les caméras et le microphone ou servir de point de départ pour des attaques contre d'autres appareils dans les réseaux domestiques et professionnels.

Plus les gens achètent ces gadgets et d'autres gadgets de l'IdO, plus les attaquants sont incités à concevoir de nouvelles façons de tirer parti de la diversité des produits de l'écosystème de l'IdO. Cela souligne la nécessité de connaître :

• certains des principaux vecteurs d'attaque et, par extension
• les moyens de rester en sécurité.

Cet article couvre le premier. Voici une série de conseils pratiques qui peuvent vous aider avec le second.