Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 58 reacties

Televisies die zijn uitgerust met Smart TV-functionaliteit op basis van de Hybrid Broadcast Broadband TV-standaard zijn volgens Duitse onderzoekers te kraken door kwetsbaarheden in de implementatie. Zo konden Samsung-tv's zelfs ingezet worden als Bitcoin-miners.

Samsung HbbTV logoHet onderzoek naar kwetsbaarheden van HbbTV-televisies is uitgevoerd door drie Duitse onderzoekers verbonden aan de Technische Universiteit van Darmstadt en de firma Nruns. Zij onderzochten de Samsung UE40ES6300, UE40D6200 en UE46ES7000, televisies die Smart TV-functionaliteit op basis van de HbbTV-standaard ondersteunen. Tijdens het onderzoek kwamen de onderzoekers tal van kwetsbaarheden tegen die door aanvallers op afstand benut kunnen worden, zo schrijft SC Magazine.

Een aantal aanvallen kon uitgevoerd worden zodra een kijker overschakelde naar een ander kanaal. De firmware van de televisie zal op dat moment nieuwe data ophalen van internet en de betreffende zenders. Aanvaller zouden aangepaste url's naar een toestel kunnen sturen om zo bepaalde content te tonen. Ook zouden via gemanipuleerde dns-server andere dvb-streams naar een toestel gestuurd kunnen worden, mede omdat de opgevraagde tv-stations geen ssl implementeren en dus man-in-the-middle-aanvallen mogelijk worden.

Het zou de onderzoekers zijn gelukt om http-verzoeken zo aan te passen dat een HbbTV-toestel de BitcoinPlus-javascriptcode opent en daarmee een televisie omvormt tot een Bitcoin-miner. Ook zouden omroepen die middels HbbTV en Google Analytics statistieken inzamelen over het kijkgedrag gemanipuleerd kunnen worden, waardoor kijkcijfers zijn te beïnvloeden.

Kwetsbaarheden in de diverse Smart TV-platformen zijn al vaker gevonden. Zo werd in december vorig jaar een lek gevonden waardoor er root-toegang mogelijk was op bepaalde toestellen van Samsung. Dit was echter geen kwetsbaarheid in HbbTV. Dit platform wordt in Europa naar schatting al door 20 miljoen tv-kijkers gebruikt. In Nederland voert de NPO testen uit met HbbTV, voorlopig via zijn satellietkanalen. Ook SBS en RTL zien brood in HbbTV.

Moderatie-faq Wijzig weergave

Reacties (58)

Het zou de onderzoekers zijn gelukt om http-verzoeken zo aan te passen dat een HbbTV-toestel de BitcoinPlus-javascriptcode opent en daarmee een televisie omvormt tot een Bitcoin-miner.
Als dit al mogelijk is dan is de volgende stap natuurlijk van die 20 miljoen TVs een botnet op te zetten. Mooie techniek hoor jongens, maar misschien moeten we toch het stof van de QA afdeling blazen en de producten daar eerst maar weer eens doorheen halen voordat we ze op de markt brengen.
Ik vraag me alleen af in hoeverre die TV's ook echt nuttig als BTC-miner ingezet kunnen worden. De meeste TVs die ik tot nu toe heb gezien hebben toch niet een overdaad aan processorkracht. Het lijkt mij handiger om een botnet op te zetten waarbij je op zoek gaat naar PCs die een AMD (of desnoods NVidia) videokaart in huis hebben. Is misschien langer zoeken, maar het levert ook veel meer op.
Niet waar. De gemiddelde smart TV heeft net zoveel rekenkracht als een 10 jaar oude middle-of-the-road desktop machine. Daarnaast draait een TV geen firewall en/of AV software en is dus een makkelijk slachtoffer; detectie is veel onwaarschijnlijker en vermoedelijk blijft de TV dus langer onder controle van de aanvaller dan een gemiddelde desktop/laptop. Op die manier is/blijft de cumulatieve 'capaciteit' voor de aanvaller dus aanzienlijk hoger op de lange termijn.

Maar goed, smart TVs zijn niet de meest handige devices voor 'coin mining' als payload; DDoS aanvallen of spam-runs zijn echter ook nog steeds lucratief.
Als ik het goed begrijp hebben ze via een man-in-the-middle attack ervoor gezorgd dat de samsung TV een pagina opent met een javascript bitcoin miner.
Het is dus niet mogelijk om de TV "Over te nemen" of om er software op te installeren (tenminste dit lees ik in het artikel).

Spam-runs zullen dus niet mogelijk zijn, DDOS enkel in de vorm van page requests. Afgezien daarvan moet je dus ook nog eens succesvol een man-in-the-middle attack uitvoeren waardoor je dus bij alle potentiële aan te vallen TV's ook nog eens eerst de router moet gaan hacken (meest voor de hand liggende optie).

Het is natuurlijk prima om hier onderzoek naar te doen maar persoonlijk zie ik het nog niet zo snel gebeuren dat hiermee een "mega botnet" opgezet wordt. En ook al zou je dit lukken dan is een javascript miner vrij nutteloos zolang hij geen GPU kan benaderen welke een beetje kracht heeft.

Als je dan toch illegaal bitcoins zou willen minen zet dan een botnet op met pc's. Veel makkelijker en levert meer op.
Deze (relatief onschuldige) JS payload is nog maar het begin, remote code-execution (RCE) is de logische volgende stap. En ik zie dat juist wel heel snel gebeuren; SmartTVs zijn helemaal niet gehardened en security onderzoekers waarschuwen hier al jaren voor. Sommige beweren zelfs dat het de 'next big thing' is (na Smartphones).

Als het al lukt om met een SSL exploit (memory corruption) uit de Sandbox van Chrome te springen (zie nieuws vorige week) en RCE te realiseren (waarbij Chrome door de meeste experts by-far als het 'most hardened' gekenmerkt wordt), dan is een SmartTV natuurlijk een zacht eitje om te breken. Uiteindelijk blijft het een Linux variant met - zo ongeveer per definitie - verouderde libraries; het is echt slechts een kwestie van tijd in mijn opinie.
Blijft het feit dat je een man-in-the-middle attack uit moet voeren.

Uiteindelijk is de stelling in dit artikel daarom equilevant aan de volgende:
Alle pc's op aarde hebben een security bug erin. Zodra ik een man-in-the-middle attack uitvoer kan ik een javascript bitcoin miner teovoegen aan alle HTTP requests....

[Reactie gewijzigd door Schnoop op 7 juni 2013 11:29]

Uit nieuwsgierigheid, jij schrijft dat een DDoS aanval lucratiever is, in welk opzicht is dit lucratief. Wat kun je er mee verdienen? Dit is echt een lekenvraag, ik weet het, maar ik dacht dat een DDoS vrij onschuldig (op een boel ergernis na) is.

gr. Greg
DDoS is niet vrij onschuldig.

DDoSsen kunnen op bestelling worden uitgevoerd. Iemand de controle heeft over een botnet laat zich dus betalen om er 1 uit te voeren (lucratieve business).

Een DDoS kan uitgevoerd worden om een andere hack poging te camoufleren: terwijl beheer alle zeilen bijzet om de DDoS het hoofd te bieden wordt er niet gelet dat er elders wordt ingebroken.
Uit nieuwsgierigheid, jij schrijft dat een DDoS aanval lucratiever is, in welk opzicht is dit lucratief. Wat kun je er mee verdienen? Dit is echt een lekenvraag, ik weet het, maar ik dacht dat een DDoS vrij onschuldig (op een boel ergernis na) is.
Een tijdje geleden werden de websites van de banken geDDOSed, waardoor mensen niet bij hun internetbankieren konden of iDEAL betalingen konden uitvoeren.

Tegelijkertijd werden er meer phishing mails gestuurd naar klanten van die banken, waarin ze refereerden naar de technische storing om zo te proberen logininformatie en TAN-codes en dergelijke te bemachtigen. En waarschijnlijk is dat bij een paar mensen ook gelukt.
Nou ja, als je enkele tien/honderd-duizenden TV's in je botnet hebt, gratis en voor niks, moet dat toch wat opleveren. Niet veel misschien, maar alle beetjes helpen!
Niet veel CPU-power nodig om te DDOS'en...ik denk dat er zat 'nuttigs' met die tvs gedaan kan worden.

[Reactie gewijzigd door Origin64 op 5 juni 2013 20:47]

Je kan natuurlijk de standby mode gebruiken als je veel cputjes wil gebruiken, beeld uit ledje aanzetten op de vookant. maar niet uitgaan en je helemaal suf rekeken

de meeste tv's staan toch meer uit dan aan.
Dus de tv die je niet hebt zet je altijd helemaal uit?
En dan afvragen waaro mer ineens zoveel tv's de geest geven aan oververhitting. Als je het zo kunt instellen dat ie alleen maar mijnt als het beeld afstaat ben je goed bezig :)
Mooie techniek hoor jongens, maar misschien moeten we toch het stof van de QA afdeling blazen en de producten daar eerst maar weer eens doorheen halen voordat we ze op de markt brengen.
alsof dit soort dingen door een QA gevonden worden.. Als dat werkelijk zo zou zijn, dan zouden we toch helemaal geen 'lekken' in geen enkele software meer hebben waarbij een QA afdeling gebruikt wordt (en dat zijn er toch wel wat bij de grote jongens)..

Sommige 'lekken' zijn gewoon niet van te voren te bepalen omdat je er simpelweg niet aan denkt, voor veel 'lekken' moet je namelijk behoorlijk gekke dingen doen/bedenken om ze uberhaupt voor te laten komen, tja, als je dan eenmaal die methode kent, ja DAN is het simpel...
Iets wat vandaag '100%' secure lijkt te zijn, kan morgen zo lek als een mandje zijn..

Net als hier, ik vraag me af hoe je uberhaupt er zo 'simpel' voor kunt zorgen dat je op de tv even er tussen kunt gaan zitten als de gebruiker alleen maar de standaard apps/tv functionaliteiten gebruikt.. Veel van dit soort kwetsbaarheden zijn allemaal theoretisch omdat het in de praktijk nogal lastig is voor een normale gebruiker om de situatie te creeeren..
Ehhh, elke zichzelf respecterende industrie doet niet alleen functionele/gebruikers/load testen (SCAT, GAT, PAT) maar ook beveiligingstests (pen-tests/code reviews/etc.). Maarja, TVs zijn net als smartphones 6 maanden na introductie end-of-life en dus heb je inderdaad gelijk dat er veel te weinig/niet grondig genoeg getest wordt ...
Dit is wel één van de redenen waarom ik niet zo happig ben op TV's met een ingebouwde camera. Dat er een webcam in m'n PC zit kan ik wel hebben, die klap ik toch dicht. Maar een camera die 24/7 m'n complete woonkamer overziet vind ik toch minder. Ik geloof dat er tegenwoordig wel TV's zijn waarbij je de camera weg kunt draaien. En anders afplakken dus, dat is niet heel fraai.

[Reactie gewijzigd door Positron op 5 juni 2013 21:11]

Men zou verplicht een hardwired ledlampje bij elke cameramodule moeten implementeren, ben je 100% zeker :)
Tenzij het kapot is. Ik heb liever échte zekerheid.
Kunnen ze het niet in een keer doorschakelen? Dat als het lampje kapot is de camera niet meer werkt?
ja. gewoon in serie zetten van een ledlampje. Camera als massa gebruiken en als je lampje het niet meer doet (gewoon simpele one-way diode) dan houd de camera er ook mee op.
Dan krijg je weer consumentenorganisaties die klagen dat de TV's weken weg zijn om dat de cameramodule stuk is door een kapotte LED en mensen dan dus hun apparaat niet kunnen gebruiken..

De volgende stap is dan losse camera modules, en dan zijn we dus weer bij af.
Dat wordt bij echt veilige systemen net andersom gedaan. Lampje aan is veilig, lampje uit is onveilig. Dan is nl of het systeem kapot, of het lampje. En dan moet je dus zoeken wat er aan de hand is. Bij een TV met camera zou je dat kunnen doen met een tweekleuren Led...rood is 'stand-by' of camera uit. Groen is actief. Uit is hoe dan ook: Er is iets mis.
Hoe vaak gaan led's stuk?

Ik heb persoonlijk in heel m'n leven in tientallen apparaten nog nooit een kapotte led gehad.
Een camera kun je eenvoudig afplakken, maar een microfoon zou je (er uit) moeten slopen om er zeker van te zijn dat het geen afluistermogelijkheden biedt bij een gehackte TV (of welk apparaat dan ook).
Quote:
Een aantal aanvallen kon uitgevoerd worden zodra een kijker overschakelde naar een ander kanaal. De firmware van de televisie zal op dat moment nieuwe data ophalen van internet en de betreffende zenders.

Deze snap ik niet.
Waarom zou een TV data ophalen van het internet als je overschakelt naar een ander kanaal?
Dat heeft met de implementatie van HbbTV te maken.
Zodra je zapt naar een ander kanaal zoekt hij op of er HbbTV hiervoor beschikbaar is (O.a. uitzending gemist bij NPO).

Dit is gewoon een kwestie van een url ophalen en de html hiervan op het scherm vertonen.
Als je ergens tussen jouw tv en de server de boel kunt manipuleren, dan kun je zo'n tv andere dingen laten doen.
Mooi verhaal, maar als je ergens een DNS kunt manipuleren en hosts gaat immiteren dan is gewoon alles onveilig wat een internetverbinding heeft. Dat heeft weinig met HbbTV te maken, maar meer met de manier waarop internet werkt. Bedoel, ik rommel wat met je DNS en nu.nl verwijst nu wel naar nu.nl, maar stiekem door mij gehost, of noem maar een website van een willekeurige applicatie. Daar staat toevallig een update op die uiteraard geinstalleerd gaat worden. Want tsja, de website ziet er hetzelfde uit en ik heb ook een SSL certificaat gemaakt waardoor het er allemaal legitiem uitziet. Alleen is die update dan geen update maar een bitcoin miner.
Het idee van SSL is dat alleen de eigenaar van het domein aan een geldig certificaat kan komen. Nou zijn er wel vaker lekken geweest, maar ik neem aan dat zodra dat ontdekt wordt in de meeste gevallen het certificaat ongeldig wordt verklaard. Ook zou zo'n TV van certificaat 'pinning' gebruik kunnen maken, zodat er slechts 1 specifiek certificaat geldig is. Niet dat dit nu al gebeurt, maar SSL lijkt mij in zo'n geval toch wel een goede oplossing.
Dit soort dingen zullen we de komende jaren nog veel vaker gaan zien, naarmate meer en meer apparatuur op internet wordt aangesloten.
Yup, daar kan je donder op zeggen..

daarom is het wel goed dat de gaten in 'simpele' apparaten als tv's gevonden worden.. Hopelijk wordt er toch meer aandacht aan besteed en is de beveiliging op orde als vrijwel alles Online gaat/staat.. Al is dat misschien een ijdele hoop..
Ik ben benieuwd hoe dat zit met digitale ontvangers, want ik heb een VU+ Duo met HbbTV ondersteuning.
Daar geldt dat ook voor - de kwetsbaarheid zit in het Hbbtv "protocol", niet de specifieke implementatie ervan door je TV of settop.
Hebben die smart-tv's geen camera, voor bewegingscommando's?
Kunnen ze je opnemen in de woon(slaap) kamer.
Vul zelf maar in.
Onprettig idee, gezien je op de nieuwere modellen ook al kunt Skypen.
(jep, paranoia mode staat aan)
Ik kan me nog herinneren dat er een paar jaar geleden in de Computer Totaal een ingezonden brief stond met de vraag of TV's virussen kunnen bevatten.

Antwoord: Nee :+
Toen niet, nu wel :)

Even antivirus op mijn TV zetten. Het moet niet gekker worden!
Geloof precies niet onmiddellijk dat je zo bitcoins kan minen, tenzij ze voor de tv's ook een JVM geport hebben, als je de source van die bitcoin miner plus eens bekijkt zie je zo dat de implementatie niet in pure javascript is gedaan maar in java.

Er wordt vanuit javascript een applet tag weggeschreven naar de pagina die dan een jar download. Als de browser geen java plugin heeft (volgens mij is dat hier niet het geval.. oracle heeft Java nooit naar MIPS geport), is het een hoax.

www.bitcoinplus.com/jar/bitcoinplus-miner.jar

http://www.bitcoinplus.com/js/miner.js

(source kan je even in een beautifier gooien om het wat meer leesbaar te maken: http://jsbeautifier.org/ )

[Reactie gewijzigd door jekkos op 5 juni 2013 22:16]

Met Javascript kan je ook net zo goed MD5 hashes berekenen.
Daarvoor hoef je echt geen aplet te gebruiken.
Er is niet alleen een Java implementatie. En de code is open source dus je kunt het in de meest exotische talen omschrijven als je wilt.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True