《智能电视安全风险与解决方案 - -.docx》由会员分享,可在线阅读,更多相关《智能电视安全风险与解决方案 - -.docx(16页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、智能电视安全风险与解决方案-网络安全频道次元立方网-国内领先安全技术频道-最新IT资讯_电脑知识大全_网络安全教程-次元立方网随着近几年智能家居的兴起,智能电视凭借功能多、智能化的优势,逐步得到市场的认可,正如当年智能手机的发展,目前智能电视仍处于市场普及阶段,智能化所带来的安全隐患,还远不被人们重视,所以其安全防御水平远远落后于智能手机和桌面计算机,进而成为网络犯罪分子新的攻击目的。壹、智能电视可能面临的安全威胁本文从智能电视安全风险来源进行分类介绍智能电视面临的安全风险。 (1)来自存储媒介或者系统漏洞的安全风险病毒感染存储媒介中保存的内容假如包含病毒则会造成病毒感染。系统或应用漏洞目前7
2、0%以上的智能电视都采用的Android,或在Android的基础上进行修改,由于Android系统的高度开放性,使得对其进行漏洞挖掘愈加容易。另外,为了方便用户能直接通过电视和家人一起视频聊天,很多电视都适配了摄像头,但这也给电视装上了一只眼睛。同时再加上语音、录音功能,进而使得电视机上拥有的摄像头成了黑客们用来窥探用户隐私的工具。三星的智能电视产品曾经就爆出过一个高危安全漏洞,骇客通过漏洞侵入账户,安装一个rootkit,即可控制整台设备。这个漏洞能够来自于任何一个应用,利用这个漏洞,入侵者能够使用电视上的摄像头,检测客厅中的影像,进而监视机主生活。另外,还能将阅读器跳转向钓鱼网站,诱导用
3、户获取银行账号密码和其他信息,进而使得财务面临安全问题。 (2)来自用户操作的威胁贯穿于设备生命周期中的用户操作产生的安全威胁包括下面几个方面:误配置使用无线网络或者互联网的时候安全参数进行了不恰当的配置,就会增加被窃听和未受权访问的风险。操作错误假如用户在使用某些功能时操作错误,就可能造成用户无意识的信息泄漏(如发送邮件给错误的接受者或者添加了错误的附件)存储数据泄漏用户存储在智能电视上的内容可能会泄漏。这种安全风险在很多情况下都可能发生,如未受权访问设备,或通过网络传输敏感内容,或者敏感数据在处理完后并没有及时删除。用户信息泄漏存储在智能电视上的用户信息可能被泄漏。用户信息指的是用户和智能
4、电视的操作者创立的所有存储在智能电视上的信息,包括个人信息,机密信息(用户凭证,如ID和密码)和私人信息(泄漏某些关于用户信息的数据,包括操作日志和服务历史使用情况)。泄漏途径如c)中所提到的一样。 (3)来自网络的威胁病毒感染智能电视之所以被称之为智能,就是由于他具备了互联网特性,能够上网阅读各种网页,但是一旦他与网络进行接轨后,那么他就必然会面临木马病毒的危害。用户在发送、接收邮件,访问web站点,从互联网下载东西的时候都可能会使智能电视感染上病毒。假如你平常有电视付费习惯的话,比方讲在电视上支付水电煤气费、开通某些电视业务、电视商城购物,那么很有可能在不经意间就丢失了本人的个人信息甚至于
5、财产。通信劫持在家里,智能电视和其他媒体设备,或者智能电视和web服务器以及广播站之间的通信,都可能被嗅探或劫持。未受权访问攻击者可能通过端口扫描,漏洞利用或者欺骗攻击来窃取信息或者造成系统毁坏。拒绝服务攻击攻击者通过对为智能电视提供内容服务的服务提供商发起DDOS攻击,造成服务停止。垃圾邮件通过互联网,用户可能会收到源源不断的恶意软件或者垃圾邮件骚扰,这不仅阻碍了互联网的使用,同样会导致病毒感染、钓鱼攻击等二次威胁。网络钓鱼当使用web服务的时候,用户可能被引诱到一个伪装成合法站点的恶意web站点。这个恶意站点的目的就是窃取用户凭证信息或者感染用户设备。攻击者经常使用上面所提到的垃圾邮件追踪
6、用户。值得关注的是由于智能电视应用相比pc来讲,会有更多的安全防护意识较为薄弱的老年人和小孩使用,所以他们成为受害者的风险也要比pc大。访问不健康内容用户可能会阅读不健康的内容(如色情图片)或者家庭成员可能会无意识地访问不健康内容,而这些网站通常都隐藏着病毒木马,进而会为用户带来极大的安全风险。 (4)Web服务器威胁即便智能电视本身不存在安全风险,但是为智能电视提供服务的web服务器(由智能电视厂商掌管)可以能存在安全风险。由于智能电视通过web服务连接上了这些服务器,就使得智能电视直接暴露在被感染了病毒或者隐私被窃取、财产遭受损失的风险之中。伪装设备和用户未受权设备或者用户伪装成合法的设备
7、或用户访问web服务站点。伪装的用户会造成未受权使用服务和内容的风险,而伪造的设备会造成web站点被攻击的风险。与web站点存在一样的威胁由于电视广播服务好像web服务一样,同样会遭受dos攻击、未受权访问、病毒感染、通信窃听、垃圾邮件以及钓鱼攻击。下面几个是通过乌云平台爆出的传统漏洞:struts2命令执行漏洞::/wooyun.org/bugs/wooyun-2020-039541:/wooyun.org/bugs/wooyun-2020-0179088SQL注入漏洞:/wooyun.org/bugs/wooyun-2020-012452MongoDB未受权访问:/wooyun.org/b
8、ugs/wooyun-2020-084317弱口令:/wooyun.org/bugs/wooyun-2020-0102661 (5)调试端口开启由于大多数智能电视采用的是Android系统,且出厂时默认开启了5555端口,可使用ADB直接连接,开启shell,可通过shell向设备中植入恶意代码,控制设备,如播放插播视频信息。详细案例如下::/wooyun.org/bugs/wooyun-2020-071951:/wooyun.org/bugs/wooyun-2020-068107:/wooyun.org/bugs/wooyun-2020-0155742贰、针对威胁采取的安全措施为了应对可能产
9、生的各种安全威胁,智能电视厂商应该通过采取下面措施来保障用户安全: (1)漏洞管理制定措施为操作系统、中间件以及已安装应用及时地安装补丁。对于智能电视来讲,需要通过下面2个方面进行防护:增加反病毒功能,及时发现利用漏洞进行危险行为的病毒。能够通过电视广播发送或者连接互联网安装补丁。假如使用广播,有可能存在下发补丁的时段内用户并没有在使用服务,进而错过补丁安装。假如通过互联网下发补丁,提供一个专门的web服务让用户知道他们需要进行软件更新,当他们访问web站点的时候能够引导他们进行更新,或者假如软件不进行更新就不能提供服务,这样就会很方便。 (2)限制非法访问限制连接的IP地址(通过路由控制)假
10、如电视服务是由特定的IP地址提供的,那么智能电视能够配置成只允许与这些特定的IP地址进行通信。阻止未受权访问通过过滤,限制只要需要使用服务的用户才能访问。 (3)反病毒措施能够通过移除存储媒介或者断开网络(包括连接的内网或者互联网)来防止病毒感染。当有文件需要更新或者需要互联网服务的时候,再连接互联网。安装反病毒软件智能电视作为继PC端和手机端后的第三个家庭入口,已经被越来越多的跨行业产品所重视,电商、游戏、互联网行业是最为人们熟知的,而安全软件同样在争夺这个市场,在生活高度智能化的今天,就连汽车、冰箱、微波炉等产品都具备了互联网特性,而智能电视已经被安全软件企业视为一个最为重要的试点,360
11、、瑞星、安全管家等都纷纷推出了智能电视安全产品。 (4)使用IDS/IPS等传统安全防护设备保护服务器端安全使用IDS/IPS能够检测和阻止来自外部连接(如Internet)、病毒、恶意代码、可信内部主体的未受权活动企图、来自可信地址的未受权访问企图。 (5)通讯加密(VPN)下面信息通信必须进行加密:智能电视与其它家庭设备通过有线/无线网络进行信息交互;智能电视与外部web服务通过互联网进行信息交互;使用智能电视与外界进行信息交互。对于A,假如使用有线局域网,由于是家庭内部网络,被窃听的风险会很低。假如使用无线网络,为了防止嗅探,就得对数据通信进行强加密了。所以,假如提供无线局域网服务,在讲
12、明书中标明风险警告是至关重要的。对于B,使用加密传输保护数据通信,如SSL/TLS。对于C,则通常是通过email与外界进行信息沟通的情况,能够参考pc端的安全防护措施,采用S/MIME(SecureMultipurposeInternetMailExtensions,多用处网际邮件扩大协议)或者PGP(PrettyGoodPrivacy)对邮件进行加密。 (6)身份认证设备身份认证对设备(智能电视)本身进行身份认证。主要是服务端对所有连接它的智能电视进行身份验证,判定访问能否合法。通常有几种方式能够实现,比方通过给每个智能电视配置一个唯一无二的id、一个USBkey、一张IC卡或者一个内置的
13、TPM(可信赖平台模块)芯片。不过由于ID能够伪造,所以可能达不到身份验证的目的。软件身份认证对智能电视上已安装软件的身份认证。主要是对智能电视上新装的软件进行身份验证以防止安装恶意软件。能够通过检测程序数字签名来实现。假如要进行严格的身份认证,能够使用PKI(PublicKeyInfrastructure)认证。用户身份认证(设备)对使用智能电视的用户的一个身份认证。为了防止未受权访问,以及在安装外部软件等特殊操作的时候确定当前操作用户为被受权的那个用户,对用户进行身份认证是非常重要的。用户身份认证(服务器端)这是由服务器端实现的,用于对通过智能电视访问web服务的用户进行身份认证。尽管他的
14、实现依靠于服务端,但通常把ID/PW(用户ID/密码)作为身份验证根据。假如服务涉及到合同签订或者商城购物等,则信誉卡号,特殊设备(如一次性密码生成器)或者PKI可以以用来作为身份验证的根据。换句话讲,与在PC端使用在线服务类似。服务器连接认证为了确保智能电视与web服务器间或者广播站之间的连接安全,在需要下载软件或者进行重要信息交互的时候,需要对服务器端进行身份验证。能够通过服务器端证书验证来验证服务器身份。 (7)内容加密针对用户存储的信息进行加密。能够用来对智能电视上存储的版权内容或者用户信息进行加密。在考虑安全策略的时候,加密方式、加密密钥以及怎样存储和管理加密密钥都是关键的。 (8)
15、数据擦除智能电视报废或者闲置不用后,需要使用数据擦除工具对上面存储的数据进行擦除,以防止设备被转让变卖后被人通过数据恢复获取设备上存储过的敏感信息,造成信息泄漏。有多种方法擦除数据,如使用随机数进行屡次数据覆盖,损毁硬盘或者使用强大的磁场毁坏数据。而对于家庭电子设备,使用随机数覆盖方式是最普遍的。 (9)过滤恶意数据URL过滤过滤恶意钓鱼、非法的网站或者被病毒感染网站。邮件过滤过滤垃圾邮件、钓鱼邮件,带有病毒附件的邮件。 (10)讲明书讲明书应该列出智能电视的整个生命周期(开场使用、操作和报废)中可能产生的安全威胁以及这些安全威胁发生后怎样进行应急处理,以便尽可能降低安全风险,引导用户解决在使用经过中的各种安全问题,如:怎样避免误用;怎样配置安全参数;怎样进行安全维护(比方漏洞管理);怎样对安全事件进行应急响应;怎样处理报废的智能家电。