Oglądanie filmów sąsiada, czyli ukryte funkcje telewizorów Philipsa

dodał 27 marca 2014 o 22:21 w kategorii Wpadki  z tagami:
Oglądanie filmów sąsiada, czyli ukryte funkcje telewizorów Philipsa

Dzięki domyślnemu hasłu do sieci WiFi, zaszytemu na stałe w oprogramowaniu, nowe telewizory marki Philips stały się prawdziwym domowym centrum rozrywki – nie tylko dla właściciela, ale także jego najbliższych sąsiadów.

Badacze z firmy ReVuln odkryli, że po ostatniej aktualizacji oprogramowania telewizory SmartTV marki Philips (modele z serii 6/7/8/9xxx) mają domyślnie włączoną usługę WiFi, z domyślnym wbudowanym hasłem, dzięki któremu można przejąć nad nimi zdalnie kontrolę.

Cudowna technologia Miracast

Miracast to „wynalazek” Philipsa standard, który ma umożliwiać np. odtwarzanie na ekranie telewizora lub monitora filmów z urządzeń działających pod kontrolą systemów Android, BlackBerry oraz Windows 8.1. Technologia ta korzysta z wbudowanej w telewizor sieci WiFi. Jeśli któryś z Waszych sąsiadów jest szczęśliwym posiadaczem odpowiedniego modelu, to możecie to zauważyć szukając w okolicy sieci WiFi o nazwie „DIRECT-XY*”, gdzie w miejscu gwiazdki znajdziecie informację o konkretnym modelu telewizora.

Mądry telewizor Philipsa

Mądry telewizor Philipsa

Badacze z firmy ReVuln odkryli, że sieć ta, standardowo niedostępna dla użytkownika i przeznaczona tylko dla urządzeń lub aplikacji z nią kompatybilnych, korzysta z wbudowanego, prawie niemożliwego do odgadnięcia hasła „Miracast”. Co ciekawe, połączenie z tą siecią nie wymaga podawania żadnych dodatkowych kodów dostępu ani nawet zatwierdzania połączenia na ekranie telewizora – po prostu wystarczy znać hasło.

Tyle rozrywki!

Po połączeniu do WiFi telewizora nasz komputer dostaje adres IP z jego sieci prywatnej i możemy zacząć zabawę. Po pierwsze można, korzystając z aplikacji joint space, wirtualnego pilota, zdalnie sterować wszystkimi parametrami telewizora dostępnymi z poziomu menu fizycznego pilota. Głośniej, ciszej, kanał w górę czy w dół – zostajemy panami pilota nie trzymając go w ręku. A to dopiero początek.

Kradzież plików z urządzenia

Kradzież plików z urządzenia

Korzystając z opracowanych przez siebie skryptów, badacze byli w stanie pobrać zdalnie z telewizora wszystkie pliki z podłączonych do niego napędów USB. Potrzebowali do tego celu jedynie odpowiedniego narzędzia, śledzącego przetwarzane ścieżki do multimediów oraz przeglądarki. W przedstawionym przez nich przykładzie ścieżka do pobieranego pliku wyglądała tak:

Jakby tego było mało, badaczom udało się także za pomocą biblioteki DirectFB wyświetlić na ekranie telewizora swój własny film a na deser ukradli ciasteczka zalogowanej na telewizorze sesji Gmaila i odtworzyli ją na swoim komputerze.

Podsumowanie

Philips najwyraźniej nie przykłada większej wagi do bezpieczeństwa swoich „inteligentnych” urządzeń. Kilka miesięcy temu opisywaliśmy żarówki tej marki, którymi również można było sterować bez wiedzy właściciela. Wygląda na to, że gdy już producenci domowych ruterów opanują tajniki bezpiecznego oprogramowania, dzięki „internetowi rzeczy” ciągle pozostanie nam wiele tematów do opisania.

Co ma zrobić posiadacz nowego telewizora Philipsa? Trudno powiedzieć – hasła nie zmieni, sieci WiFi chyba także nie da się wyłączyć. Proponujemy zatem schować telewizor do klatki Faradaya.

Aktualizacja: W ustawieniach telewizora można wyłączyć funkcję Miracast a jeden  z opisywanych powyżej błędów był już wcześniej odkryty.