Por: Kim Crawley  26/02/2018

Consumer Reports de la editorial Consumers Union es una revista que se ha dedicado a proporcionar a los consumidores información imparcial sobre productos y servicios desde 1930. Básicamente, han estado haciendo lo que se les conoce por más tiempo de lo que la mayoría de nosotros hemos estado vivos. Eso es bastante impresionante cuando lo piensas.

Aquí hay algo que debería interesarnos a los que estamos en la comunidad de seguridad cibernética: Consumer Reports está empezando a convertirse en una fuente útil de información de seguridad relacionada con el software para el consumidor y el Internet of Things  (IoT).

Los dispositivos de consumo IoT han explotado en los últimos años. Ahora hay todo tipo de dispositivos IoT que las personas pueden comprar para sus hogares, desde Amazon hasta electrodomésticos de cocina y dispositivos de entretenimiento para su sala de estar.

El estándar digital

El estándar digital es un esfuerzo de colaboración que incluye Consumer Reports, investigadores de seguridad y defensores de la privacidad digital. Desde la página principal de Digital Standard :

«El estándar digital es un esfuerzo ambicioso, abierto y colaborativo para crear un estándar de privacidad y seguridad digital que ayude a orientar el diseño futuro del software para el consumidor, las plataformas y servicios digitales y los productos conectados a Internet.

La norma define y refleja los valores importantes del consumidor que deben abordarse en el desarrollo del producto: los productos electrónicos y basados ​​en software deben ser seguros, la información del consumidor debe mantenerse en privado, los derechos de propiedad de los consumidores deben mantenerse y los productos deben diseñarse para combatir el acoso y ayudar a proteger la libertad de expresión.

Nuestros objetivos son permitir que las organizaciones de consumidores prueben, evalúen e informen sobre si los nuevos productos protegen la seguridad y privacidad del consumidor, y para facultar a los consumidores para que tomen decisiones más inteligentes sobre los productos que compran «.

Para una publicación que se fundó en 1930, Consumer Reports se mantiene al día con la era de la información. Las vulnerabilidades de Smart TV que reportaré aquí fueron descubiertas a través de la investigación de Digital Standard.

Estos últimos hallazgos son muy oportunos

Según IHS Markit , el 69% de los televisores nuevos enviados a los minoristas en 2017 tenían capacidades de Internet. Los televisores inteligentes ahora son «televisores normales». Normalmente se conectan a la red inalámbrica (WLAN) en su hogar, por lo que pueden ser un vector de ataque cibernético a cualquier otro punto final en su WLAN, incluidas las PC y los teléfonos inteligentes. Además, las personas a menudo ingresan sus datos confidenciales de autenticación en sus Smart TV para varias cuentas de usuario, como Netflix, Hulu, Google, YouTube y Amazon.

Cuando esas credenciales caen en manos equivocadas, los atacantes cibernéticos pueden arruinar la vida digital de las personas. Los atacantes incluso pueden participar en el robo de identidad y financiero con credenciales robadas de Smart TV. Las consecuencias de atacar cibernéticamente a un Smart TV pueden ser mucho más serias que simplemente no poder ver el último juego de la NFL en tu sala de estar (aunque para mucha gente, no poder ver el fútbol sería lo peor) .

Ahora que le he recordado la seriedad de este asunto, veamos los últimos hallazgos de Consumer Reports.

Estos televisores inteligentes son vulnerables al ataque cibernético

Estos son los modelos de dispositivos específicos que Consumer Reports probó con The Digital Standard:

  • Vizio P55-E1 SmartCast TV
  • Samsung UN49MU8000
  • Sony XBR-49X800E
  • LG 49UJ7700
  • TCL 55P605

El modelo de Vizio ejecuta Chromecast de Google, el modelo de Sony ejecuta Android TV de Google, el modelo de Samsung ejecuta su plataforma propietaria Tizen, el modelo LG ejecuta webOS, y el modelo TCL ejecuta Roku.

Consumer Reports encontró que el Samsung UN49MU8000 y el TCL 55P605 son los menos seguros, de acuerdo con su metodología de prueba.

¿Cuál es el problema?

Los investigadores de Consumer Reports usaron aplicaciones web remotas para atacar los televisores que probaron. Al explotar las API en Tizen de Samsung y la implementación de Roku en TCL TV, pudieron controlar la aplicación de YouTube para reproducir videos desagradables, desconectar los televisores de su WLAN, cambiar los canales de televisión rápidamente y aumentar el volumen del parlante hasta la perforación del tímpano niveles.

Todos esos ataques serían experiencias muy desagradables para mí cuando todo lo que quiero hacer es ponerme al día con Veronica y Betty en el último episodio de Riverdale (me encanta ese programa). Sentiría como si un fantasma maligno se hubiera apoderado de mi sala de estar. ¿Podría ser Black Hood?

El miembro de Digital Standard y el ingeniero principal de Disconnect, Eason Goodale , dijo : «Los dispositivos Roku (como TCL TV) tienen una API de control remoto totalmente segura habilitada por defecto. Esto significa que incluso los hackers extremadamente poco sofisticados pueden tomar el control de Rokus. Es menos una puerta cerrada y más una cortina transparente al lado de un neón ‘¡Estamos abiertos!’ firmar.»

Un vocero de Roku respondió: «No existe riesgo de seguridad para las cuentas de nuestros clientes o la plataforma Roku con el uso de esta API». Pero deshabilitar la API de Roku que permite a los atacantes cibernéticos acceder remotamente a YouTube, el control de volumen, el cambiador de canales y desconectar los dispositivos Roku de Internet también hace que los usuarios legítimos no puedan controlar sus televisores a través de Roku.

Puedo imaginar el desarrollo de bots maliciosos que pueden causar estragos en millones de televisores Roku a través de Internet sin que los atacantes cibernéticos humanos tengan que atacar y «piratear» específicamente cada televisor. Definitivamente hay atacantes que estarían motivados para usar Internet con el fin de asustar a las personas en sus hogares. Cualquier vulnerabilidad en un producto que permite a las personas hacer daño es un problema de ciberseguridad.

La vulnerabilidad en el Samsung UN49MU8000 aparece cuando un usuario instala su aplicación de control remoto Tizen correspondiente. Si el usuario abre una página web maliciosa en el mismo teléfono inteligente, el atacante cibernético que controla la página web puede adquirir el mismo acceso al Samsung UN49MU8000 que puede adquirir al TCL 55P605 utilizando un método de ataque cibernético más simple.

Goodale dijo : «Los Smart TV de Samsung intentan garantizar que solo las aplicaciones autorizadas puedan controlar la televisión. Desafortunadamente, el mecanismo que utilizan para garantizar que las aplicaciones hayan sido previamente autorizadas es defectuoso. Es como si una vez que abrieras el cerrojo de tu puerta, la puerta nunca volviera a cerrarse «.

Samsung respondió. «Apreciamos Consumer Reports ‘alertándonos sobre su posible preocupación». Dijeron que reforzarían su vulnerable API «tan pronto como sea técnicamente factible». Tengo la sensación de que Samsung toma la ciberseguridad más en serio que Roku y TCL. La reacción de Samsung ante los hallazgos de Consumer Reports me hace optimista sobre sus futuros Smart TV.

Preocupaciones sobre la privacidad

A Consumer Reports también le preocupa que los usuarios cancelen sus derechos de privacidad digital cuando aceptan los EULA (acuerdos de licencia de usuario final) que se muestran cuando configuran sus Smart TV por primera vez. Incluso yo soy culpable de reaccionar ante un EULA al pensar: «Bla, bla, bla». Haz clic en «Aceptar» y haz que desaparezca «.

Esta preocupación particular de Consumer Reports y Digital Standard se refiere a los cinco Smart TV que probaron.

El Reconocimiento automático de contenido (ACR) es una función que recopila datos sobre qué programas de TV, programas de transmisión de Internet y DVD y Blu-rays observan los usuarios de Smart TV. Luego, los datos se envían al proveedor correspondiente y posiblemente uno o más ‘socios comerciales’. Los datos de ACR se usan con mayor frecuencia para publicidad dirigida e investigación de mercado.

Si los consumidores no aceptan las diversas legalidades de uso compartido de datos en el EULA de su Smart TV, se vuelve a un «televisor tonto» anticuado en el que los usuarios no pueden disfrutar de las funciones de conectividad a Internet de su televisor, como ver Netflix.

Consumer Reports concluye que la única forma en que los usuarios pueden prohibir la recopilación de datos en estos televisores inteligentes es no aceptar sus EULA y no conectar sus televisores a sus WLAN.

Tal vez la gente debería comprar televisores HDTV de pantalla plana o pantallas 4K con HDMI y puertos de cable compuesto y poco más. Pero parece que muy pronto los fabricantes de TV ya no los fabricarán.

Todos los derechos de autor y otros derechos de propiedad sobre la información contenida en este articulo, pertenecen a Cylance Inc.
Fuente: https://www.cylance.com/en_us/blog/many-popular-smart-tvs-have-serious-vulnerabilities.html
>>>Si quieres conocer más de Seguridad informática, Contáctanos<<<