Popularne urządzenia z systemem Android TV sprzedawane na Amazon są pełne złośliwego oprogramowania

Kredyty obrazkowe: Techcrunch

AllWinner i RockChip mogą nie być powszechnie znanymi markami, ale te dwie chińskie firmy napędzają wiele popularnych urządzeń Android TV sprzedawanych na Amazon.

Odbiorniki Android TV są zwykle tanie i można je w dużym stopniu dostosować, pakując kilka usług przesyłania strumieniowego w jedno urządzenie, zamiast kupować osobne urządzenia. Ich oferty na Amazon mają cztery z pięciu gwiazdek i łącznie zebrały tysiące godnych pochwały recenzji.

Ale badacze bezpieczeństwa twierdzą, że modele są sprzedawane z fabrycznie załadowanym złośliwym oprogramowaniem zdolnym do przeprowadzania skoordynowanych cyberataków.

W zeszłym roku Daniel Milisic kupił dekoder AllWinner T95 i odkrył, że oprogramowanie chipa zostało zainfekowane złośliwym oprogramowaniem. Milicic jest znalezione Że dekoder Androida komunikował się z serwerami dowodzenia i kontroli i czekał na instrukcje, co dalej. jego ciągłe osiąganie Opublikowane na githubieodkrył, że jego model T95 był po wyjęciu z pudełka podłączony do większego botnetu tysięcy innych zainfekowanych złośliwym oprogramowaniem urządzeń Android TV w domach i biurach na całym świecie.

Milicic powiedział, że domyślną funkcją złośliwego oprogramowania jest clickbot, który jest zasadniczo kodem generującym pieniądze reklamowe poprzez ukradkowe klikanie reklam w tle. Po włączeniu urządzeń z systemem Android TV, których dotyczy problem, wstępnie załadowane złośliwe oprogramowanie natychmiast kontaktuje się z serwerem dowodzenia i kontroli, otrzymuje instrukcje, gdzie znaleźć potrzebne mu złośliwe oprogramowanie, i pobiera dodatkowe ładunki na urządzenie wykonujące oszustwo polegające na klikaniu reklam.

„Ale ze względu na sposób, w jaki zaprojektowano złośliwe oprogramowanie, autorzy mogą przesyłać dowolny ładunek, jaki chcą” – powiedział Milicic TechCrunch.

badacz bezpieczeństwa EFF, Bill Boddington potwierdzone niezależnie Ustalenia Milisica po zakupie wadliwego urządzenia od Amazon. Kilka innych modeli telewizorów AllWinner i RockChip Android TV było również wstępnie załadowanych tym złośliwym oprogramowaniem, w tym AllWinner T95Max, RockChip X12 Plus i RockChip X88 Pro 10.

Zrzut ekranu AllWinner T95 wystawiony na Amazon. Kredyty obrazkowe: TechCrunch (zrzut ekranu)

Botnety zazwyczaj składają się z setek, jeśli nie tysięcy lub milionów zainfekowanych urządzeń na całym świecie. Operatorzy stojący za botnetem mogą wykorzystać tę rozległą złośliwą sieć do wydobywania kryptowaluty na zagrożonym urządzeniu, kradzieży danych (jeśli takie istnieją) z urządzenia lub połączonej z nim sieci lub wykorzystania zbiorowej przepustowości internetowej tych urządzeń do atakowania innych stron internetowych i serwerów internetowych za pomocą nieautoryzowanych niechciany ruch, znany jako rozproszony atak typu „odmowa usługi”, powodujący przejście w tryb offline.

Milisic poprosił firmę internetową hostującą serwery dowodzenia i kontroli, która poinstruowała szerszy botnet, aby przełączył te serwery w tryb offline, a serwery hostujące złośliwe oprogramowanie do klikania reklam zniknęły wkrótce potem. Ostrzegł jednak, że botnet może w każdej chwili powrócić z nową infrastrukturą.

Nie jest jasne, jak duże są boty. „Trudno jest określić rozmiar tej sieci” – powiedział Boddington TechCrunch. „Wiemy, że wszędzie, gdzie spojrzymy, istnieją różne rodzaje złośliwego oprogramowania typu trojan dla Androida, które pobiera złośliwe oprogramowanie następnej fazy z tej samej puli adresów IP, które były zaangażowane w ataki w łańcuchu dostaw w przeszłości. To imponujące i niepokojący proces”.

Milisic i Budington zauważają, że nie ma łatwego sposobu na usunięcie złośliwego oprogramowania dla przeciętnego użytkownika. Całkowite pozbycie się pudełka może być najlepszą opcją dla dotkniętych użytkowników.

„Myślę, że jedynym sposobem na złagodzenie tego problemu jest utrzymywanie sprzedawców detalicznych na wyższych standardach” – powiedział Milicic TechCrunch. Odnosząc się do sprzedawców internetowych, takich jak Amazon: „Nie wolno im sprzedawać zabawek dla dzieci wykonanych z obracających się żyletek, więc dlaczego można zezwalać małym, nieznanym sprzedawcom na sprzedaż złośliwie zachowujących się komputerów bez wiedzy i zgody właścicieli?”

Kiedy skontaktował się z TechCrunch, rzecznik Amazona, Adam Montgomery, odmówił powiedzenia, czy Amazon sprawdza bezpieczeństwo sprzedawanych przez siebie urządzeń, czy też planuje usunąć ze sprzedaży urządzenia zawierające złośliwe oprogramowanie.

AllWinner i RockChip nie odpowiedzieli na prośby o komentarz.

W ostatnich latach nastąpił nacisk na poprawę standardów bezpieczeństwa sprzętu. Administracja Bidena powiedziała, że ​​planuje wprowadzić w tym roku system oceny urządzeń podłączonych do Internetu w ramach wysiłków mających na celu zachęcenie producentów urządzeń do poprawy bezpieczeństwa ich urządzeń, takich jak dodanie mechanizmów aktualizacji w celu łatania luk w zabezpieczeniach. W 2018 roku stan Kalifornia uchwalił prawo zabraniające urządzeniom podłączonym do Internetu używania domyślnych, łatwych do odgadnięcia haseł, których przestępcy często używają do włamywania się do urządzeń i łapania ich w botnecie.

W chwili pisania tego artykułu modele AllWinner i RockChip, których dotyczy problem, są nadal dostępne w sprzedaży na Amazon.