BezpieczeństwoLuki w Amazon Fire TV Stick i Insignia FireOS TV Series > redakcja Opublikowane 9 maja 20230 0 64 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr Urządzenia do przesyłania strumieniowego w ostatnich latach stają się coraz bardziej popularne – nie bez powodu. Przenośne, często aktualizowane i stosunkowo niedrogie w porównaniu z nowym inteligentnym telewizorem, urządzenia te oferują wygodny, ekonomiczny i konfigurowalny sposób dostępu do szerokiej gamy treści w zaciszu własnego domu.Inteligentne telewizory i urządzenia do przesyłania strumieniowego stanowią aż 20% wszystkich podłączonych urządzeń IoT, a potencjalne luki w oprogramowaniu sprzętowym mogą mieć wpływ na znaczną część użytkowników.Bitdefender ujawnia luki w Amazon Fire TV Stick i Insignia FireOS TV SeriesJako twórca pierwszego na świecie centrum cyberbezpieczeństwa inteligentnego domu producent oprogramowania antywirusowego Bitdefender regularnie kontroluje popularny sprzęt IoT pod kątem luk w zabezpieczeniach, które mogą mieć wpływ na klientów, jeśli nie zostaną zabezpieczone. Dlatego niedawno opublikował raport z badań produktów Amazon Fire TV Stick i Insignia FireOS TV, który jest częścią szerszego programu i ma na celu rzucenie światła na bezpieczeństwo światowych bestsellerów w przestrzeni IoT. Badania ujawniają luki mające wpływ na następujące produkty i wersje:Insignia TV z wcześniejszymi wersjami FireOS6.2.9.5Fire TV Stick 3. gen. z wcześniejszymi wersjami FireOS7.6.3.3Uwaga: luki w zabezpieczeniach przedstawione w tym raporcie zostały w odpowiedzialny sposób ujawnione dostawcy w ramach programu Bug Bounty. Amazon wydał poprawki dotyczące tych niedociągnięć na urządzeniach Fire TV i zdalnej aplikacji Fire TV i nie ma dowodów, że ten problem został wykorzystany przeciwko klientom. Producent oprogramowania antywirusowego Bitdefender ściśle współpracuje z zespołem Amazon Fire TV na wszystkich etapach ujawniania luk w zabezpieczeniach.Luki w zabezpieczeniach w skrócieNieautoryzowane uwierzytelnianie poprzez brutalne wymuszanie kodu PIN sieci lokalnej. Luka ta została spowodowana niewłaściwą implementacją protokołu wymiany kluczy uwierzytelnionych hasłem przez Juggling (lub J-PAKE), co mogło spowodować przejęcie przez atakujących kontroli nad urządzeniem. (CVE-2023-1385)Luka w funkcji setMediaSource w serwisie amzn.thin.pl umożliwiła wykonanie dowolnego kodu Javascript. Można go użyć do załadowania dowolnych adresów URL HTTP w przeglądarce internetowej. (CVE-2023-1384)Luka w zabezpieczeniach funkcji exchangeDeviceServices w usłudze amzn.dmgr umożliwiła atakującemu zarejestrowanie usług, które są dostępne tylko lokalnie. (CVE-2023-1383)Harmonogram ujawnień16 grudnia 2022 — Badacze Bitdefender przesyłają wyniki do programu Bug Bounty.19 grudnia 2022 – Program nagród za ujawnienie błędów przesyła raport do sprawdzenia przez dostawcę.20 grudnia 2022 – Zespół Amazon potwierdza ustalenia i rozpoczyna wewnętrzne dochodzenie.12 kwietnia 2023 – Amazon dostarcza poprawkę publicznie.13 kwietnia 2023 – Za odkrycie wyznaczono nagrodę.2 maja 2023 – Ten raport zostaje opublikowany w ramach skoordynowanego ujawnienia.Najlepsze praktyki dotyczące urządzeń IoT„Użytkownicy domowi powinni uważnie monitorować urządzenia IoT i izolować je w jak największym stopniu od sieci lokalnej. Można to zrobić, konfigurując dedykowaną sieć wyłącznie dla urządzeń IoT. Ponadto warto także regularnie sprawdzać dostępność nowszego oprogramowania układowego i aktualizować urządzenia, gdy tylko dostawca wyda nowe wersje” – doradza Mariusz Politowicz z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender. Źródło: https://bitdefender.pl/bitdefender-ujawnia-luki-w-amazon-fire-tv-stick-i-insignia-fireos-tv-series/Related Posts Przeczytaj również!Prywatna chmura to slogan?Microsoft Azure coraz bliżej AmazonaKupujesz w Amazonie? Uważaj na te rodzaje oszustw. Kod promocyjny na nagrodę od Amazona?Jaka jest siła rekomendacji?
Niemal co piąty Polak nie wie, czy był ofiarą internetowego oszustwa. Kto jest najbardziej narażony na ataki?