Avast hat schwerwiegende Sicherheitslücken in zwei beliebten DVB-T2-Geräten entdeckt. Diese können es Cyberkriminellen ermöglichen, Malware auf den Geräten zu speichern, um über einen Wetterdienst Botnet- oder Ransomware-Angriffe zu starten. Hersteller der betroffenen Boxen sind die Unternehmen Thomson und Philips.
THOMSON THT741FTA und Philips DTR3502BFTA sind europaweit erhältlich und werden häufig von Verbrauchern gekauft, deren Fernsehgeräte DVB-T2 nicht unterstützen. DVB-T2 ist das aktuelle digitale Signal für terrestrisches Fernsehen, das Zugang zu zusätzlichen hochauflösenden (HD)-Fernsehdiensten bietet.
Die Untersuchung, geleitet von IoT-Laborteamleiter Vladislav Iluishin und dem IoT-Bedrohungsforscher Marko Zbirka, hat im Januar dieses Jahres begonnen und ist Teil einer laufenden Initiative von Avast zur Untersuchung und Prüfung der Sicherheitsvorkehrungen von IoT-fähigen Geräten.
Zu Beginn ihrer Analyse entdeckten Iliushin und Zbirka, dass beide Geräte mit Internetanschluss von ihren Herstellern mit offenen Telnet-Ports ausgeliefert werden. Dabei handelt es sich um ein mehr als 50 Jahre altes, unverschlüsseltes Protokoll, das für die Kommunikation mit anderen Geräten oder Servern verwendet wird.
Dies könnte es einem Angreifer ermöglichen, Fernzugriff auf die Geräte zu erlangen und sie in Botnetze zu integrieren, um DDoS-Angriffe (Distributed Denial of Service) oder andere bösartige Aktivitäten zu starten. Iliushin und Zbirka ist es gelungen, die Binärdatei des weitverbreiteten Mirai-Botnetzes auf beiden Set-Top-Boxen auszuführen.
Die Experten haben darüber hinaus einen Fehler aufgedeckt, der mit der Architektur der Set-Top-Boxen zusammenhängt. Beide Geräte basieren auf dem Programm Linux-Kernel 3.10.23, das 2016 auf den Boxen installiert wurde. Es dient als Brücke zwischen der Hardware und der Software der Geräte, indem es der Software genügend Ressourcen zuweist, damit sie ausgeführt werden kann.
Der Support für Version 3.10.23 lief jedoch im November 2017 aus. Patches für Fehler und Schwachstellen wurden also nur ein Jahr lang herausgegeben, bevor der Support endete. Seitdem sind die Benutzer potenziellen Angriffen ausgesetzt.
Zu weiteren Sicherheitsproblemen der Geräte gehört eine unverschlüsselte Verbindung zwischen den Set-Top-Boxen und einer vorinstallierten Legacy-Anwendung des beliebten Wettervorhersagedienstes AccuWeather. Diese Erkenntnis haben die Forscher durch die Analyse des Datenverkehrs zwischen den Set-Top-Boxen und dem Router gewonnen.
Die unsichere Verbindung zwischen den Boxen und dem AccuWeather-Backend könnte es Cyberkriminellen ermöglichen, die Inhalte zu verändern, die die Benutzer auf ihren Fernsehern sehen, wenn sie die Wetteranwendung nutzen. Beispielsweise könnte ein Eindringling eine Lösegeldnachricht anzeigen, in der er behauptet, der Fernseher des Nutzers sei gekapert worden, und eine Zahlung für die Freigabe des Geräts verlangen.
Im Rahmen der Untersuchung setzte sich Avast sowohl mit Philips als auch mit Thomson in Verbindung und teilte die Ergebnisse zusammen mit Vorschlägen zur Verbesserung der Produktsicherheit mit.