Originalartikel von Ju Zhu, Mobile Threats Analyst
Smart TVs stellen ein sehr beliebtes Anwendungsszenario im Internet der Dinge dar. Sie sind nicht mehr nur passive Display-Geräte, und viele können sogar Android-Apps ablaufen lassen, eine für manche nützliche Funktionalität, die aber auch ihre eigenen Risiken birgt. Bereits vor zwei Jahren wies Trend Micro auf einige der Probleme mit Smart TVs hin.
Apps, über die Nutzer Programme aus anderen Teilen der Welt sehen können, die ihnen sonst nicht zugänglich sind, mögen für viele attraktiv sein. Aber diese Apps setzen die Nutzer auch Gefahren aus, denn sie enthalten eine Hintertür, die einen Fehler (CVE-2014-7911) in den Android-Versionen vor Lollipop 5.0 (Cupcake 1.5 bis Kitkat 4.4W.2) ausnützt. Die Sicherheitsforscher haben diese bösartigen Apps als ANDROIDOS_ROOTSTV.A identifiziert.
Die meisten smarten TVs nutzen ältere Android-Versionen. Zu den Anbietern, die angreifbare Smart TVs verkaufen, gehören Changhong, Konka, Mi, Philips, Panasonic und Sharp. Zusätzlich sind auch andere Android-Geräte mit älteren Versionen in Gefahr. Doch im Moment werden diese Art von Apps vor allem in Smart TVs oder TV-Boxen verwendet.
Folgende Sites unter dem Namen H.TV, deren Hauptbesucher aus den USA und aus Kanada kommen, verbreiten diese bösartigen Apps.
Bilder | Sites, die Malware an Smart TVs weitergeben |
Bild 1 | http://pf3a[.]res4f[.]com |
http://www[.]htvmarket[.]com | |
http://mak[.]wak2p[.]com | |
http://wh[.]waks2[.]com | |
Bild 2 | https://sites[.]google[.]com/site/htvfanshare/2012summer_collection |
Bild 1: Screenshot von Sites, Smart TVs mit Malware versorgen
Bild 2: Screenshot einer Site, die Smart TVs mit Malware versorgt
Des Weiteren nutzt die Schadsoftware auch die folgenden Download-Server:
Domain | Beispiel |
meiz.le2ui.com | http://meiz[.]le2ui[.]com:80/marketdatas/apk/ChineseVideo2.11.1.apk |
yaz.e3wsv.com | http://yaz[.]e3wsv[.]com:80/marketdatas/apk/ChineseVideo2.11.1.apk |
Ablauf des Angriffs
In einem ersten Schritt locken die Angreifer die Besitzer von Smart TVs auf eine der obigen Sites und bringen sie dazu, die mit Schadsoftware infizierten Apps zu installieren. Dann stößt der Angreifer die Sicherheitslücke im System an. Bekannte Exploit-Techniken wie Heap Sprays oder Rücksprung-orientiertes Programmieren werden dafür eingesetzt, um höhere Privilegien im System zu erhalten.
Bild 3: Malware App stößt Schwachstelle an
Bild 4: Malware App nützt das System aus
Mit den höheren Berechtigungen installiert der Angreifer andere Apps oder Schadsoftware auf das System. Die Analyse hat gezeigt, dass die Angreifer aus der Ferne Apps updaten oder Apps auf das Fernsehgerät schieben.
Bild 5: Die App installiert unbemerkt weitere Schadsoftware
Bild 6: Malware updatet Apps aus der Ferne
Diese aus der Ferne installierten Apps werden nur über HTTP heruntergeladen und nicht über HTTPS. Das bedeutet, dass ein zweiter Angreifer, der einen Man-in-the-Middle-Angriff ausführt, die heruntergeladenen Apps ändern und die Payload des ersten überschreiben kann.
Schutz für Smart TVs
Trend Micro™ Mobile Security kann diese Bedrohungen erkennen. Während sich die meisten mobilen Android-Geräte einfach auf die neueste Version aktualisieren lassen, ist diese Aufgabe bei Smart TVs eine Herausforderung, da es Hardware-Limitierungen gibt. Deshalb ist es empfehlenswert, Schutzlösungen zu installieren und keine Apps von Drittanbietern aufzuspielen.
Weitere Infos zu Smart TVs liefert die Infografik „Ready for Primetime?“:
Die folgenden Hashes stehen damit im Zusammenhang:
- 019d4326d3340609b3f8326d51e031cafc6bf9a0
- 01a0b3fbf3e4e840e6aa441353ff29e4c5bf3e10
- 0637b9116af595e7451dea655a05c32aa89fcbdb
- 069138865d4a58b3683f1aa687408b40c92fe9cf
- 0937b9598a58c6fad80c8e41f08e11e6d036d4b4
- 0c6a075e0cf4e94d57afe085d39423400fa88b7c
- 2bbcf7511d6953a64f4284f2454dce119bd1063e
- 2daabbe1d2213594c2a8017401f4fa82e24a2475
- 396cb2137a6cd6880c96035464712513f44d52b9
- 3fd7f0b2e8249ff5f08a82f5df003f2713744824
- 583722e9c6bbbf78d7d4d9689679d22ff6a2c4e9
- 6357da20ed2661d9b8943275c515c3bd6b9b46c6
- 8f999a80497bc29f633301f7f96489fe9be4eab5
- 9434f41147eb7259dcf4f1dd8ed7d1209b1546b8
- 9ecbff5df641da74910439aefd4ab0596afaff6f
- a54341b76b88034de6a47bb5904e6c01c53f3cc4
- bde06adde1d6f4ac3a1865a4314ca45ca807b39c
- d1af06e54e294dbc106c03650ac8a556c1b1e1e9
- d1f005e07d5369230d2624de94cfcbdad14cd914
- d3ab0dd0ac28181e0c531909460dcdd417178d2d
- dbf3a4d820db3974edc8063d852afa40217a9750
- fe86ae99ee7b75abf2bce047f4b5f2f1b20d3492