BezpieczeństwoLuki w Amazon Fire TV Stick i Insignia FireOS TV Series > redakcja Opublikowane 9 maja 20230 0 64 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr Urządzenia do przesyłania strumieniowego w ostatnich latach stają się coraz bardziej popularne – nie bez powodu. Przenośne, często aktualizowane i stosunkowo niedrogie w porównaniu z nowym inteligentnym telewizorem, urządzenia te oferują wygodny, ekonomiczny i konfigurowalny sposób dostępu do szerokiej gamy treści w zaciszu własnego domu.Inteligentne telewizory i urządzenia do przesyłania strumieniowego stanowią aż 20% wszystkich podłączonych urządzeń IoT, a potencjalne luki w oprogramowaniu sprzętowym mogą mieć wpływ na znaczną część użytkowników.Bitdefender ujawnia luki w Amazon Fire TV Stick i Insignia FireOS TV SeriesJako twórca pierwszego na świecie centrum cyberbezpieczeństwa inteligentnego domu producent oprogramowania antywirusowego Bitdefender regularnie kontroluje popularny sprzęt IoT pod kątem luk w zabezpieczeniach, które mogą mieć wpływ na klientów, jeśli nie zostaną zabezpieczone. Dlatego niedawno opublikował raport z badań produktów Amazon Fire TV Stick i Insignia FireOS TV, który jest częścią szerszego programu i ma na celu rzucenie światła na bezpieczeństwo światowych bestsellerów w przestrzeni IoT. Badania ujawniają luki mające wpływ na następujące produkty i wersje:Insignia TV z wcześniejszymi wersjami FireOS6.2.9.5Fire TV Stick 3. gen. z wcześniejszymi wersjami FireOS7.6.3.3Uwaga: luki w zabezpieczeniach przedstawione w tym raporcie zostały w odpowiedzialny sposób ujawnione dostawcy w ramach programu Bug Bounty. Amazon wydał poprawki dotyczące tych niedociągnięć na urządzeniach Fire TV i zdalnej aplikacji Fire TV i nie ma dowodów, że ten problem został wykorzystany przeciwko klientom. Producent oprogramowania antywirusowego Bitdefender ściśle współpracuje z zespołem Amazon Fire TV na wszystkich etapach ujawniania luk w zabezpieczeniach.Luki w zabezpieczeniach w skrócieNieautoryzowane uwierzytelnianie poprzez brutalne wymuszanie kodu PIN sieci lokalnej. Luka ta została spowodowana niewłaściwą implementacją protokołu wymiany kluczy uwierzytelnionych hasłem przez Juggling (lub J-PAKE), co mogło spowodować przejęcie przez atakujących kontroli nad urządzeniem. (CVE-2023-1385)Luka w funkcji setMediaSource w serwisie amzn.thin.pl umożliwiła wykonanie dowolnego kodu Javascript. Można go użyć do załadowania dowolnych adresów URL HTTP w przeglądarce internetowej. (CVE-2023-1384)Luka w zabezpieczeniach funkcji exchangeDeviceServices w usłudze amzn.dmgr umożliwiła atakującemu zarejestrowanie usług, które są dostępne tylko lokalnie. (CVE-2023-1383)Harmonogram ujawnień16 grudnia 2022 — Badacze Bitdefender przesyłają wyniki do programu Bug Bounty.19 grudnia 2022 – Program nagród za ujawnienie błędów przesyła raport do sprawdzenia przez dostawcę.20 grudnia 2022 – Zespół Amazon potwierdza ustalenia i rozpoczyna wewnętrzne dochodzenie.12 kwietnia 2023 – Amazon dostarcza poprawkę publicznie.13 kwietnia 2023 – Za odkrycie wyznaczono nagrodę.2 maja 2023 – Ten raport zostaje opublikowany w ramach skoordynowanego ujawnienia.Najlepsze praktyki dotyczące urządzeń IoT„Użytkownicy domowi powinni uważnie monitorować urządzenia IoT i izolować je w jak największym stopniu od sieci lokalnej. Można to zrobić, konfigurując dedykowaną sieć wyłącznie dla urządzeń IoT. Ponadto warto także regularnie sprawdzać dostępność nowszego oprogramowania układowego i aktualizować urządzenia, gdy tylko dostawca wyda nowe wersje” – doradza Mariusz Politowicz z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender. Źródło: https://bitdefender.pl/bitdefender-ujawnia-luki-w-amazon-fire-tv-stick-i-insignia-fireos-tv-series/
