Millones de televisores inteligentes son vulnerables a los piratas informáticos

Millones de televisores inteligentes son vulnerables a los piratas informáticos

Aquí hay una pequeña advertencia para usted si posee un televisor inteligente o planea comprar uno: millones de dispositivos tienen vulnerabilidades de seguridad que permitirán a los piratas informáticos cambiar de forma remota los canales, el nivel de volumen y más. Y los fabricantes de estos dispositivos pueden monitorear y recopilar mucha información sobre sus hábitos de visualización, probablemente más de la que le gustaría.



Consumer Reports, una organización sin fines de lucro, hizo el descubrimiento en una amplia evaluación de privacidad y seguridad de las principales marcas de televisores inteligentes, que realizó en cooperación con la empresa de seguridad Desconectar e instituto de investigación Clasificación de los derechos digitales .

Esta no es la primera vez que fallas de seguridad y privacidad se encontraron en televisores inteligentes y otros electrodomésticos inteligentes. Sin embargo, dado que los televisores conectados a Internet representan más del 60 por ciento de los dispositivos enviados a nivel mundial , estas preocupaciones se están agravando. Por lo tanto, si bien disfruta de la capacidad de ver su servicio de transmisión favorito en su televisor de pantalla grande, también debe tener cuidado con las preocupaciones de seguridad y privacidad que podría tener.



Por qué los televisores inteligentes son vulnerables

Entre los varios televisores inteligentes populares que Consumer Reports examinó, los televisores fabricados por Samsung y TCL y los dispositivos que utilizan el Año Se descubrió que la plataforma de televisión inteligente tenía fallas de seguridad.

“Solo buscábamos buenas prácticas de seguridad”, dice Maria Rerecich, que supervisa las pruebas de electrónica en Consumer Reports. 'Cifrado de datos personales o confidenciales, protección contra vulnerabilidades comunes, ese tipo de cosas'.

Los investigadores encontraron que los dispositivos Samsung y TCL tenían vulnerabilidades que podrían permitir a los piratas informáticos 'bombear el volumen de un susurro a niveles estridentes, recorrer rápidamente los canales, abrir contenido perturbador de YouTube o desconectar el televisor de la red WiFi'. Sin embargo, los exploits no permitirán que los atacantes espíen a los usuarios ni recopilen información de sus televisores, según el informe.

En el caso de los dispositivos TCL, las fallas se encontraron en las interfaces de programación de aplicaciones (API) de la plataforma de TV Roku subyacente, que también se usa en dispositivos fabricados por otras compañías como Sharp, Hisense, LG y los propios dispositivos de transmisión de Roku. Las API son un conjunto de funciones que permiten interacciones entre diferentes software y hardware. Las empresas y los desarrolladores utilizan la API de Roku para crear aplicaciones para sus dispositivos.



La falta de seguridad en las llamadas API remotas de la plataforma de Roku sin controles de seguridad. 'Esto significa que incluso los piratas informáticos extremadamente poco sofisticados pueden tomar el control de Rokus', dice Eason Goodale, ingeniero principal de Disconnect. 'Es menos una puerta cerrada y más una cortina transparente junto a un letrero de neón que dice '¡Estamos abiertos!''.

Para aprovechar la vulnerabilidad, un pirata informático necesitaría acceder a la red Wi-Fi de los televisores de destino. Esto puede suceder si se engaña al usuario de una computadora portátil o teléfono inteligente en la misma red para que instale un malware -aplicación infectada o visitando una página web con código malicioso.



El exploit de Samsung es un poco más complicado y solo funcionaría en un dispositivo que haya interactuado previamente y haya obtenido acceso al televisor de destino.

“Los televisores inteligentes no son diferentes a cualquier otro dispositivo genérico [Internet de las cosas (IoT)] que se ejecuta en un software conocido que contiene sus propias debilidades y vulnerabilidades”, dice Kestas Malakauskas, vicepresidente senior de ciberseguridad en CUYO AI , una empresa que brinda soluciones de seguridad y redes. “Es solo cuestión de tiempo que se identifique una nueva vulnerabilidad en el software X y que se desarrollen exploits y estén disponibles en la naturaleza para todos los delincuentes o piratas informáticos que existen”.

Malakauskas señala que casi todos los televisores inteligentes tienen navegadores integrados, a los que él llama 'solo otro vector para descargar y ejecutar código malicioso'. Y a diferencia de nuestras computadoras portátiles y teléfonos inteligentes, las restricciones de hardware y software en los electrodomésticos inteligentes impiden que se ejecuten antivirus y herramientas antispyware .

Sin embargo, no todo el mundo está de acuerdo en que las vulnerabilidades descubiertas por Consumer Reports son de naturaleza crítica. “Las cosas de Roku requieren que un posible atacante esté sentado en la misma red local (Wi-Fi). En ese momento, tienes problemas mayores ', dice Sean Sullivan, asesor de seguridad e investigador de la firma de ciberseguridad. F-Secure . La vulnerabilidad de Samsung involucra demasiados 'si', dice Sullivan, imponiendo un costo muy alto para un hacker que quiere jugar con el volumen de su televisor inteligente. 'No creo que los piratas informáticos estén motivados en absoluto por esta 'vulnerabilidad'', dice.



Malakauskas señala, sin embargo, que si bien los televisores inteligentes pueden no parecer un objetivo muy interesante para los piratas informáticos, siempre pueden funcionar como puertas de enlace para que los piratas informáticos se establezcan dentro de la red de su hogar y moverse lateralmente para robar información desde otros dispositivos.

Los riesgos de privacidad de los televisores inteligentes

Todos los televisores inteligentes que Consumer Reports revisó requerían que los usuarios perdieran sus datos de visualización para usar las funciones conectadas del dispositivo. 'Descubrimos que no siempre es fácil comprender lo que está aceptando a medida que avanza en el proceso de configuración', dice el informe. 'Y si rechaza los permisos, puede perder una cantidad sorprendente de funciones'.

La mayoría de los televisores inteligentes utilizan el reconocimiento automático de contenido (ACR), una tecnología que permite a los fabricantes identificar y clasificar el contenido que está viendo. Esto incluye transmisiones por cable, por aire, servicios de transmisión e incluso DVD y discos Blu-ray. ACR recopila muestras de audio, video y metadatos de su televisor y las envía al fabricante, que luego analiza los datos para comprender sus preferencias y recomendar otros programas que podría estar interesado en ver. Pero también utiliza esta información con fines publicitarios y de marketing. 'No puede revisar o eliminar fácilmente estos datos más adelante', dice Consumer Report.

Algunos de los televisores permiten a los usuarios desactivar ACR sin dejar de aceptar un acuerdo de privacidad básico. Sin embargo, incluso esos acuerdos de privacidad básicos pueden requerir que ceda su ubicación, las aplicaciones de transmisión en las que hace clic y más. No aceptar los términos lo privará de las funciones 'inteligentes' de su televisor. 'Puede conectar un decodificador de cable o una antena, pero no podrá transmitir nada desde Amazon, Netflix u otros servicios basados ​​en la web', dice Consumer Report.

Las peores configuraciones de privacidad se encontraron en el televisor inteligente de Sony, que funciona con la tecnología de Google Android TV plataforma. El proceso de configuración requiere explícitamente que los usuarios acepten la política de privacidad de Google.

'El hecho de que tútenidoaceptar los términos y condiciones de Google, nos gusten o no, con el fin de configurar el dispositivo me pareció un problema mayor que el resto de [los hallazgos] ', dice Sullivan de F-Secure. “Sin mencionar que actualmente hay informes de Televisores Android comprometidos en China por un cripto-minero '.

Sullivan dice que ACR no necesariamente equivale a una preocupación de privacidad en dispositivos que no requieren que el usuario inicie sesión en una cuenta en línea específica. “Pero en el caso de los televisores con Android, creo que el requisito (o casi el requisito) de conectar una cuenta podría ser un problema / vector que permita anuncios dirigidos multiplataforma no deseados”, dice.

La última investigación de Consumer Report manifiesta la desafíos más amplios que enfrenta la industria de IoT de consumo. En 2016, los dispositivos IoT vulnerables permitieron a los piratas informáticos lanzar el El ataque distribuido de denegación de servicio (DDoS) más grande de la historia , interrumpiendo el acceso a los servicios en línea en grandes áreas de todo el mundo.

“En esta área, ser el primero en el mercado sigue siendo mucho más importante que los principios de diseño de seguridad que se aplican en cada software de televisión inteligente”, dice Malakauskas.

'Desafortunadamente, esta es una práctica común y no solo con la televisión inteligente', coincide Yossi Atias, gerente general de seguridad de IoT en Dojo de Bullguard , una startup de privacidad y seguridad de IoT. “Los proveedores de dispositivos se están aprovechando de la falta de conocimiento y conciencia de los consumidores sobre la privacidad en general. Siempre está enmascarado por una declaración legal larga y compleja que los usuarios tienden a no ignorar. Los proveedores no deben forzar la funcionalidad comercial por motivos de privacidad. Eso cambiará solo si los reguladores intervienen y obligan a los proveedores de dispositivos a mantener la privacidad del usuario de forma predeterminada '.

Cómo proteger su televisor inteligente

“Sin una visibilidad adecuada del tráfico de la red, es muy difícil para un consumidor medio saber siquiera si su dispositivo se ha visto comprometido”, dice Atias.

Sin embargo, existen algunas medidas que pueden minimizar la superficie de ataque de los usuarios, sugiere Atias:

  • Actualice constantemente el firmware de su televisor inteligente y las aplicaciones que se ejecutan en él (la mayoría de los televisores inteligentes tienen una opción de actualización automática).
  • Prefiera las conexiones por cable a las inalámbricas porque son más difíciles de comprometer.
  • Solo compre televisores inteligentes de proveedores de renombre que tengan un historial de corregir errores y publicar actualizaciones de seguridad con regularidad.
  • Evite conectar memorias USB al televisor porque pueden contener malware.

Malakauskas de CUJO recomienda asegurarse de comprender claramente los términos y condiciones y las políticas de privacidad antes de activar cualquier servicio en su televisor inteligente. “La próxima E.U. Reglamento general de protección de datos (GDPR) obligará a los proveedores a proporcionar declaraciones de política de privacidad más detalladas y claras que permitan a los consumidores comprender qué datos se recopilarán y cómo se utilizarán ”, dice. Por supuesto, eso no necesariamente ayudará a los consumidores de EE. UU.

Malakauskas también advierte contra el uso de navegadores genéricos en televisores inteligentes porque no tienen controles de seguridad integrados para protegerse contra ataques web maliciosos.

Los consumidores también pueden instalar un dispositivo de protección inteligente para el hogar como CUJO, Dojo o F-Secure Sense. Estos dispositivos utilizan un conjunto de técnicas como la supervisión del comportamiento del dispositivo y la inspección de paquetes para detectar y bloquear la actividad maliciosa en su red doméstica. La capa adicional de seguridad que proporcionan los dispositivos de seguridad para el hogar inteligente puede compensar las vulnerabilidades inherentes que existen en los dispositivos de IoT.

Ben Dickson es ingeniero de software y fundador de TechTalks . Siga sus tweets en @ bendee983 y sus actualizaciones sobre Facebook .

Nota del editor: este artículo se ha actualizado para mayor claridad.