Τα δημοφιλή κουτιά Android TV που πωλούνται στο Amazon είναι γεμάτα κακόβουλο λογισμικό

Το AllWinner και το RockChip μπορεί να μην είναι γνωστά ονόματα, αλλά οι δύο εταιρείες με έδρα την Κίνα κατασκευάζουν πολλά εξαιρετικά δημοφιλή κουτιά Android TV που πωλούνται στο Amazon.

Αυτοί οι αποκωδικοποιητές τηλεόρασης που λειτουργούν με Android είναι συνήθως φθηνοί και είναι εξαιρετικά προσαρμόσιμοι, συσκευάζοντας πολλές υπηρεσίες ροής σε μία μόνο συσκευή, αντί να αγοράζουν ξεχωριστό υλικό. Οι καταχωρίσεις τους στο Amazon διαθέτουν αξιολογήσεις τεσσάρων στα πέντε αστέρια και συγκέντρωσαν συλλογικά χιλιάδες αξιέπαινες κριτικές.

Ωστόσο, οι ερευνητές ασφαλείας λένε ότι τα μοντέλα πωλούνται προφορτωμένα με κακόβουλο λογισμικό ικανό να εκτοξεύει συντονισμένες κυβερνοεπιθέσεις.

Πέρυσι, ο Daniel Milisic αγόρασε έναν αποκωδικοποιητή AllWinner T95 και ανακάλυψε ότι είχε μολυνθεί από κακόβουλο λογισμικό. Μίλισιτς

βρέθηκαν

ότι ο αποκωδικοποιητής που λειτουργεί με Android επικοινωνούσε με διακομιστές εντολών και ελέγχου και περίμενε οδηγίες για το τι να κάνει στη συνέχεια. Η συνεχιζόμενη έρευνά του, η οποία

δημοσίευσε στο GitHub

ανακάλυψε ότι το μοντέλο του T95 ήταν εξαρχής συνδεδεμένο με ένα μεγαλύτερο botnet χιλιάδων άλλων κουτιών Android TV που έχουν μολυνθεί από κακόβουλο λογισμικό σε σπίτια και γραφεία σε όλο τον κόσμο.

Ο Milisic είπε ότι το προεπιλεγμένο ωφέλιμο φορτίο του κακόβουλου λογισμικού είναι ένα clickbot, ουσιαστικά κώδικας που δημιουργεί χρήματα από διαφημίσεις πατώντας κρυφά σε διαφημίσεις στο παρασκήνιο. Αφού ενεργοποιηθούν τα κουτιά Android TV που επηρεάζονται, το προφορτωμένο κακόβουλο λογισμικό έρχεται αμέσως σε επαφή με έναν διακομιστή εντολών και ελέγχου, λαμβάνει τις οδηγίες του για το πού να βρει το κακόβουλο λογισμικό που χρειάζεται και τραβάει επιπλέον ωφέλιμα φορτία στη συσκευή που πραγματοποιεί την απάτη με κλικ σε διαφημίσεις.

«Αλλά λόγω του τρόπου με τον οποίο έχει σχεδιαστεί το κακόβουλο λογισμικό, οι συγγραφείς μπορούν να απομακρύνουν οποιοδήποτε ωφέλιμο φορτίο θέλουν», είπε ο Milisic στο TechCrunch.

Ο ερευνητής ασφάλειας του EFF Bill Budington

επιβεβαιώθηκε ανεξάρτητα

Τα ευρήματα του Milisic αφού αγόρασε επίσης μια επηρεασμένη συσκευή από την Amazon. Πολλά άλλα μοντέλα Android TV AllWinner και RockChip είναι επίσης προφορτωμένα με το κακόβουλο λογισμικό, συμπεριλαμβανομένων των AllWinner T95Max, RockChip X12 Plus και RockChip X88 Pro 10.

Τα botnet αποτελούνται συνήθως από εκατοντάδες, αν όχι χιλιάδες ή εκατομμύρια, παραβιασμένες συσκευές σε όλο τον κόσμο. Οι χειριστές πίσω από το botnet μπορούν να χρησιμοποιήσουν αυτό το τεράστιο κακόβουλο δίκτυο για την εξόρυξη κρυπτονομισμάτων σε μια επηρεαζόμενη συσκευή, κλέβοντας δεδομένα (εάν υπάρχουν) από τη συσκευή ή το δίκτυο στο οποίο είναι συνδεδεμένο ή αξιοποιώντας το συλλογικό εύρος ζώνης διαδικτύου από αυτές τις συσκευές για να σπρώχνουν άλλους ιστότοπους και διακομιστές διαδικτύου με ανεπιθύμητη κίνηση, γνωστή ως κατανεμημένη επίθεση άρνησης υπηρεσίας, που τους βγάζει εκτός σύνδεσης.

Ο Μίλισιτς ζήτησε από την εταιρεία διαδικτύου που φιλοξενούσε τους διακομιστές εντολών και ελέγχου που διέθεταν οδηγίες στο ευρύτερο botnet να αποσυνδέσει αυτούς τους διακομιστές και οι διακομιστές που φιλοξενούσαν το κακόβουλο λογισμικό με κλικ εξαφανίστηκαν λίγο αργότερα. Προειδοποίησε, ωστόσο, ότι το botnet θα μπορούσε να επανέλθει ανά πάσα στιγμή με νέα υποδομή.

Δεν είναι σαφές πόσο μεγάλο είναι το botnet. «Είναι δύσκολο να ποσοτικοποιηθεί η κλίμακα αυτού του δικτύου», είπε ο Budington στο TechCrunch. «Αυτό που γνωρίζουμε είναι ότι όπου κι αν κοιτάξουμε υπάρχουν διαφορετικές παραλλαγές κακόβουλου λογισμικού Android trojan που κατεβάζουν κακόβουλο λογισμικό επόμενου σταδίου από το ίδιο σύνολο IP, εκείνων που έχουν εμπλακεί σε επιθέσεις εφοδιαστικής αλυσίδας στο παρελθόν. Είναι μια εντυπωσιακή και ανησυχητική επιχείρηση.”

Οι Milisic και Budington σημειώνουν ότι δεν υπάρχει εύκολος τρόπος για να αφαιρέσετε το κακόβουλο λογισμικό για τον μέσο χρήστη. Το να πετάξετε εντελώς το κουτί μπορεί να είναι η καλύτερη επιλογή για τους επηρεαζόμενους χρήστες.

«Νομίζω ότι ο μόνος τρόπος για να μετριαστεί αυτό το πρόβλημα είναι να κρατήσουμε τους λιανοπωλητές σε υψηλότερα πρότυπα», είπε ο Milisic στο TechCrunch. Αναφερόμενοι σε διαδικτυακούς πωλητές όπως η Amazon, «δεν επιτρέπεται να πουλούν παιδικά παιχνίδια κατασκευασμένα από περιστρεφόμενες λεπίδες ξυραφιών, γιατί είναι εντάξει να αφήνουμε μικρούς, άγνωστους πωλητές να πουλούν υπολογιστές που ενεργούν κακόβουλα χωρίς τη γνώση και την άδεια των ιδιοκτητών;»

Όταν έφτασε στο TechCrunch, ο εκπρόσωπος της Amazon Adam Montgomery αρνήθηκε να πει εάν η Amazon ελέγχει την ασφάλεια των συσκευών που πουλά ή εάν σχεδιάζει να αφαιρέσει από την πώληση τις εν λόγω συσκευές που περιέχουν κακόβουλο λογισμικό.

Το AllWinner και το RockChip δεν απάντησαν αιτήματα για σχόλια.

Τα τελευταία χρόνια έχει υπάρξει μια ώθηση για βελτίωση των προτύπων ασφάλειας υλικού. Η κυβέρνηση Μπάιντεν είπε ότι σχεδιάζει να αναπτύξει ένα σύστημα ετικετών για συσκευές συνδεδεμένες στο Διαδίκτυο φέτος ως μέρος των προσπαθειών να ενθαρρύνει τους κατασκευαστές συσκευών να βελτιώσουν την ασφάλεια των συσκευών τους, όπως η προσθήκη μηχανισμών ενημέρωσης για την επιδιόρθωση ελαττωμάτων ασφαλείας. Το 2018, η Καλιφόρνια ψήφισε νόμο που απαγορεύει στις συσκευές που είναι συνδεδεμένες στο Διαδίκτυο να χρησιμοποιούν προεπιλεγμένους και εύκολους να μαντέψουν κωδικούς πρόσβασης, τους οποίους κακοί ηθοποιοί χρησιμοποιούν συχνά για να παραβιάσουν συσκευές και να τις παγιδεύσουν σε ένα botnet.

Τη στιγμή της σύνταξης, τα επηρεαζόμενα μοντέλα AllWinner και RockChip εξακολουθούν να είναι διαθέσιμα προς πώληση στο Amazon.