Dzięki domyślnemu hasłu do sieci WiFi, zaszytemu na stałe w oprogramowaniu, nowe telewizory marki Philips stały się prawdziwym domowym centrum rozrywki – nie tylko dla właściciela, ale także jego najbliższych sąsiadów.
Badacze z firmy ReVuln odkryli, że po ostatniej aktualizacji oprogramowania telewizory SmartTV marki Philips (modele z serii 6/7/8/9xxx) mają domyślnie włączoną usługę WiFi, z domyślnym wbudowanym hasłem, dzięki któremu można przejąć nad nimi zdalnie kontrolę.
Cudowna technologia Miracast
Miracast to „wynalazek” Philipsa standard, który ma umożliwiać np. odtwarzanie na ekranie telewizora lub monitora filmów z urządzeń działających pod kontrolą systemów Android, BlackBerry oraz Windows 8.1. Technologia ta korzysta z wbudowanej w telewizor sieci WiFi. Jeśli któryś z Waszych sąsiadów jest szczęśliwym posiadaczem odpowiedniego modelu, to możecie to zauważyć szukając w okolicy sieci WiFi o nazwie „DIRECT-XY*”, gdzie w miejscu gwiazdki znajdziecie informację o konkretnym modelu telewizora.
Badacze z firmy ReVuln odkryli, że sieć ta, standardowo niedostępna dla użytkownika i przeznaczona tylko dla urządzeń lub aplikacji z nią kompatybilnych, korzysta z wbudowanego, prawie niemożliwego do odgadnięcia hasła „Miracast”. Co ciekawe, połączenie z tą siecią nie wymaga podawania żadnych dodatkowych kodów dostępu ani nawet zatwierdzania połączenia na ekranie telewizora – po prostu wystarczy znać hasło.
Tyle rozrywki!
Po połączeniu do WiFi telewizora nasz komputer dostaje adres IP z jego sieci prywatnej i możemy zacząć zabawę. Po pierwsze można, korzystając z aplikacji joint space, wirtualnego pilota, zdalnie sterować wszystkimi parametrami telewizora dostępnymi z poziomu menu fizycznego pilota. Głośniej, ciszej, kanał w górę czy w dół – zostajemy panami pilota nie trzymając go w ręku. A to dopiero początek.
Korzystając z opracowanych przez siebie skryptów, badacze byli w stanie pobrać zdalnie z telewizora wszystkie pliki z podłączonych do niego napędów USB. Potrzebowali do tego celu jedynie odpowiedniego narzędzia, śledzącego przetwarzane ścieżki do multimediów oraz przeglądarki. W przedstawionym przez nich przykładzie ścieżka do pobieranego pliku wyglądała tak:
172.23.1.1:1925/..%2f..%2f..%2f..%2f..%2f..%2f/media/usba1/plik.avi
Jakby tego było mało, badaczom udało się także za pomocą biblioteki DirectFB wyświetlić na ekranie telewizora swój własny film a na deser ukradli ciasteczka zalogowanej na telewizorze sesji Gmaila i odtworzyli ją na swoim komputerze.
Podsumowanie
Philips najwyraźniej nie przykłada większej wagi do bezpieczeństwa swoich „inteligentnych” urządzeń. Kilka miesięcy temu opisywaliśmy żarówki tej marki, którymi również można było sterować bez wiedzy właściciela. Wygląda na to, że gdy już producenci domowych ruterów opanują tajniki bezpiecznego oprogramowania, dzięki „internetowi rzeczy” ciągle pozostanie nam wiele tematów do opisania.
Co ma zrobić posiadacz nowego telewizora Philipsa? Trudno powiedzieć – hasła nie zmieni, sieci WiFi chyba także nie da się wyłączyć. Proponujemy zatem schować telewizor do klatki Faradaya.
Aktualizacja: W ustawieniach telewizora można wyłączyć funkcję Miracast a jeden z opisywanych powyżej błędów był już wcześniej odkryty.
Komentarze
Ja nie rozumiem ja QA mogło w ogóle dopuścić do sprzedaży Smart TV. Przecież tego się nie da używać. Za pewne PR miało misję zadowolić (wiadomo jak ;) ) QA aby jednak puścili, bo „Smart TV is a great marketing word. Who wouldn’t want a Smart TV?”
To jest po prostu bez sensu.
np. ja „don’t want” – nie chciałoby mi się tego shitu konfigurować i zabezpieczać (o ile się da).
nie no ma sens zeby smutni panowie mieli latwiej ;-)
Pomysł na smart tv jest dobry i moim zdaniem bardzo trafiony. problem w tym, że jakość tego co na chwilę obecną serwują nam producenci nie jest na zadowalającym poziomie.
sam świadomie zakupiłem smart tv, ale od razu byłem nastawiony na wersję bez wifi (wyższy koszt, niższa wygoda ze względu na słabsze transfery po wifi) .
wiem, że są ludzie, którzy z góry nastawieni są na NIE, ale pomyślcie – oglądam sobie super filmik z YouTube na telefonie i aż się śmieję. słyszy to moja mama i też chciała by zobaczyć.
co zrobi derp bez smarttv? albo pokaże filmik na telefonie (co przy słabo widocznej mamie nie jest dobrym pomysłem) albo na komputerze (który najpierw musi być włączony).
co zrobi derp posiadający smarttv? powie „włączę ci na telewizorze” i wyświetli film bezpośrednio na telewizorze wywołując go z aplikacji youtube zainstalowanej na telefonie. dosłownie 2 stuknięcia palcem!
„co przy słabo widocznej mamie nie jest dobrym pomysłem”,
fakt
Przy słabo widocznej mamie polecam rutinoscorbin, żeby nie była taka niewyraźna.
A jezeli ktos ma 2FA na gmail to takie ciacho nadal zadziala?
„odtwarzanie na ekranie telewizora lub monitora filmów…” generalnie chodzi o przesyłanie zawartości całego ekranu – nie koniecznie konkretnej aplikacji.
Mnie zastanawia inna rzecz – zapisane hasło to jedno, ale natywny klient androida zna to hasło i bez problemu się łączy.
Pzdr
„sieci WiFi chyba także nie da się wyłączyć.”
Da się, przynajmniej u mnie.
Opcje>konfiguracja>ustawienia sieci> Wi-Fi Miracast> Wyłącz
U mnie w modelu pfl6008 podziałało, sieć wifi zniknęła z eteru.
mam 2 philipsy serii 7 i 8 . spokojnie da się w nich wyłączyć tą funkcję . poza tym nie wydaje mi się bym wśród sąsiadów byli hakierzy
A jak sie ma sprawa z wbudowanym mikrofonem i kamerka ?
Mozna tez zdalnie wlaczyc?
Dzięki za ważną wiadomość.
Po przeczytaniu Waszej informacji skontaktowałem się z polskim oddziałem producenta i poprosiłem o aktualne informacje. Oficjalna informacja ma pojawić się w przyszłym tygodniu. Prace nad aktualizacją oprogramowania podobno już trwają.
Więcej na moim blogu:
http://obywatelhd.pl/index.php/2014/03/29/bezpieczenstwo-miracast-philipsa-odpowiedz-w-przyszlym-tygodniu-aktualizacja-oprogramowania-w-drodze/
To nie nowość, że po włamaniu do sieci wifi można zrobić wiele. Jest przecież jeszcze kupa routerów na rynku ze standardowymi hasłami dla wifi, których ludzie nie zmieniają. Wystarczy zmienić hasło dostępowe do wifi, problem solved. Ale oczywiście pewnie ktoś zapłacił za czarny PR, no i fala hate’u się leje a wy łapiecie jak małe pelikany. Każdy Smart TV po podłączeniu go do sieci można zdalnie kontrolować, tak samo jak ściągnąć z niego pliki, czy ukraść sesję przeglądarki… Ten artykuł jest albo kopią jakiegoś crapu z wersji angielskiej albo po prostu ktoś już nie ma o czym pisać.
Smart TV otworzył duże możliwość jeśli chodzi o TV coraz więcej aplikacji użytecznych i nie.
Dziura została załatana.
http://obywatelhd.pl/index.php/2014/05/26/miracast-philipsa-juz-bezpieczny-dziura-zalatana/
Jakie to domysle haslo posiada philips tv
Nie moge tv z telefonem polaczyc jakie koledzy