Стандарт HbbTV необходим для организации гибридного интерактивного телевидения, в том числе через HbbTV можно инициировать обработку на смарт-тв произвольных веб-страниц в формате CE-HTML с применением JavaScript. Это открывает для потенциальных злоумышленников возможность получить доступ к устройствам.
Для демонстрации уязвимостей Шеель использовал телевизор Samsung с движком HbbTV, который основан на устаревшей версии WebKit. Используя портативный передатчик DVB-T с интерфейсом USB, хакер может взломать инфраструктуру вещательной компании или подменить сигнал цифрового телевидения.
Дело в том, что приемник DVB-T автоматически выбирает более сильный сигнал, что позволяет подключаться к местной сети, игнорируя вещательные станции соседних городов. Таким образом подменить сигнал можно с помощью квадрокоптера с закрепленным передатчиком DVB-T, который может приблизиться к телевизионной антенне и осуществить подмену определённых каналов.
По словам Шееля, помимо DVB-T также могут быть атакованы и системы, работающие на DVB-C и IPTV, которые также используют HbbTV. Как сообщил «Теле-Спутнику» антивирусный эксперт «Лаборатории Касперского» Денис Легезо, для осуществления атаки нужно в первую очередь, подменить сигнал вещателей и далее воспользоваться уязвимостями в программе-обработчике входящего трафика, встроив в поток данных вредоносный JavaScript. «Защищаться можно на обоих этапах атаки. На первом, как говорит и сам исследователь, можно предусмотреть подпись вещателями передаваемых данных. Это заметно усложнит их подмену. На втором этапе атаки — поставщик программы-обработчика входящего трафика может снизить вероятность нахождения новых уязвимостей, если он и поставщики устройств будут закрывать найденные "дыры" в старых версиях и оперативно обновлять прошивки», — говорит Легезо.
Что касается сторонних специализированных ИБ-решений, то они обнаруживают в том числе и вредоносный код JavaScript. Вопрос насколько часто пользователи ставят дополнительный защитный софт на подобные устройства и если ли у них вообще такая возможность, добавил эксперт «Лаборатории Касперского».
_________________________Подпишитесь на канал «Теле-Спутника» в Telegram: перейдите по инвайт-ссылке или в поисковой строке мессенджера введите @telesputnik, затем выберите канал «Теле-Спутник» и нажмите кнопку +Join внизу экрана.