باز هم آسیبپذیری در تلویزیونهای هوشمند سامسونگ
به گزارش شرکت مهندسی شبکه گستر، محققان شرکت امنیتی Neseso از وجود ضعفی امنیتی در تلویزیونهای هوشمند سامسونگ خبر دادهاند که به گفته آنها امکان هک این دستگاهها را از طریق قابلیت Wi-Fi Direct فراهم میکند.
Wi-Fi Direct استانداردی است که دستگاههای هوشمند میتوانند با استفاده از آن و بدون نیاز به Wireless Access Point به طور مستقیم با یکدیگر ارتباط برقرار کنند.
به گفته این محققان در تلویزیونهای سامسونگ تنها از نشانیهای MAC جهت اصالتسنجی ارتباط استفاده میشود. حال آنکه سازندگان دیگر از روشهای امنتری نظیر Push-Button و گذرواژه مجاز بودن ارتباط را مورد بررسی قرار میدهند.
با توجه به اینکه شنود نشانیهای MAC و جعل آنها با استفاده از ابزارهای نفوذ حتی برای هکرهای تازهکار هم کار آسانی محسوب میشود میتوان این طور نتیجهگیری کرد که روش اصالتسنجی تلویزیونهای سامسونگ براحتی قابل دور زدن است.
بهمحض برقراری ارتباط مهاجم به تمامی سرویسهای تلویزیون نظیر سرویس کنترل از راه دور دسترسی خواهد داشت.
علاوه بر آن مهاجم میتواند با سوءاستفاده از این ضعف امنیتی به شبکه خصوصی کاربر یا شبکه محلی سازمانی که تلویزیون در آن قرار دارد رخنه کند. برای مثال با بهرهجویی از این روش مهاجم قادر به سرقت گذرواژه شبکههای Wi-Fi که تلویزیون به آن متصل بوده خواهد بود.
از همه بدتر اینکه قابلیت Wi-Fi Direct بهصورت پیشفرض بر روی تلویزیونهای هوشمند سامسونگ فعال است.
محققان Neseso گفتهاند وجود این آسیبپذیری را حدود 6 هفته پیش به شرکت سامسونگ اطلاع دادهاند اما این شرکت در پاسخ به آنها این مساله را تهدید امنیتی ندانسته و بنابراین اصلاحیهای نیز برای ترمیم آن عرضه نخواهد کرد.
بررسیهای این محققان بر روی نسخه 1480 ثابت افزار UN32J5500 انجام شده است اما وجود این آسیبپذیری در سایر مدلها را نیز بسیار محتمل دانستهاند.
شایان ذکر است در زمان اتصال یک دستگاه به تلویزیون پیامی بر روی صفحه ظاهر شده و اتصال را به بیننده اطلاعرسانی میکند؛ اما دور از ذهن نیست که بسیاری از کاربران این گونه پیامها را نادیده بگیرند.
این نخستین بار نیست که محققان امنیت تلویزیونهای سامسونگ را زیر سئوال میبرند. در یکی دیگر از جدیدترین نمونهها، در جریان Security Analyst Summit 2017 یک محقق از وجود 40 آسیبپذیری روز صفر در Tizen – سیستم عامل اجرا شده بر روی تلویزیونهای هوشمند سامسونگ – خبر داده بود. در زمان انتشار آن گزارش، هیچ کدام از آسیبپذیریها ترمیم نشده بودند.
گزارش Neseso در اینجا قابل دریافت و مطالعه است.
