智能電視安全防御水平遠(yuǎn)落后于手機(jī)和PC

　　據(jù)Computerworld網(wǎng)站報(bào)道，智能電視將成為網(wǎng)絡(luò)犯罪分子新的攻擊目標(biāo)，因?yàn)槠浒踩烙竭h(yuǎn)遠(yuǎn)落后于智能手機(jī)和桌面計(jì)算機(jī)。

　　由于廠商更重視用戶使用的方便性而非安全，運(yùn)行Android等移動(dòng)操作系統(tǒng)的智能電視成為容易受到攻擊的目標(biāo)，廠商的這一取舍可能帶來(lái)嚴(yán)重后果。

　　Computerworld表示，由于經(jīng)常被應(yīng)用在企業(yè)會(huì)議室，智能電視不僅僅是一款消費(fèi)設(shè)備。據(jù)市場(chǎng)研究公司Research and Markets預(yù)測(cè)，在2019年底前，智能電視銷量每年將增長(zhǎng)逾20%。

　　安全專家稱，盡管針對(duì)智能電視的攻擊尚未大規(guī)模爆發(fā)，但網(wǎng)絡(luò)犯罪分子注意到其軟肋只是個(gè)時(shí)間問(wèn)題。

　　Tolaga Research首席研究官菲爾馬歇爾(Phil Marshall)表示，“許多解決方案甚至沒(méi)有采用在IT界已知的最佳安全措施。智能電視生態(tài)鏈四分五裂，廠商重視的是迅速在市場(chǎng)上推出解決方案?！?/p>

　　智能電視從本質(zhì)上說(shuō)就是計(jì)算機(jī)，USB接口、操作系統(tǒng)和網(wǎng)絡(luò)功能與智能手機(jī)沒(méi)有區(qū)別。但與計(jì)算機(jī)和移動(dòng)設(shè)備不同的是，智能電視通常不要求對(duì)用戶身份進(jìn)行任何認(rèn)證。

　　網(wǎng)絡(luò)安全廠商Tripwire計(jì)算機(jī)安全研究人員克萊格?揚(yáng)(Craig Young)表示，“基本上，只要人與智能電視在同一個(gè)房間，就會(huì)被認(rèn)為是電視的所有者?！笨巳R格揚(yáng)一直在研究智能電視的安全問(wèn)題。

　　克萊格?揚(yáng)還表示，部分型號(hào)智能電視不能確認(rèn)通過(guò)網(wǎng)絡(luò)發(fā)送命令的人，就是能實(shí)際控制電視的人。

　　這意味著黑客可能控制智能電視在會(huì)議期間顯示不符合用戶預(yù)期的內(nèi)容?？巳R格?揚(yáng)說(shuō)，“如果參會(huì)人員正在利用智能電視進(jìn)行演示，這會(huì)導(dǎo)致出現(xiàn)尷尬情況或一些意想不到的情況?！?/p>

　　包括三星、LG和索尼在內(nèi)的多家主流智能電視廠商都推出了智能電視應(yīng)用商店，但用戶完全可能被誘騙通過(guò)第三方應(yīng)用商店下載惡意應(yīng)用，用來(lái)攻擊智能手機(jī)的方法也可以用來(lái)攻擊智能電視。

　　安全廠商賽門鐵克安全威脅研究人員坎迪德烏衣斯特(Candid Wueest)故意讓其全新的Android電視感染了勒索件。勒索件是一種惡意軟件，對(duì)用戶文件加密，脅迫用戶支付贖金。

　　烏衣斯特的試驗(yàn)帶有“作弊”嫌疑：他修改了路由器的DNS(域名系統(tǒng))設(shè)置，模擬了中間人攻擊，讓電視從一個(gè)不可靠的來(lái)源下載勒索件。

　　Computerworld稱，烏衣斯特還提到智能電視與軟件更新有關(guān)的許多其他問(wèn)題。當(dāng)下載更新包時(shí)，部分型號(hào)智能電視不使用被稱作SSL/TLS的安全協(xié)議。

　　這可能讓網(wǎng)絡(luò)犯罪分子誘騙電視下載惡意固件。部分型號(hào)智能電視甚至不驗(yàn)證下載固件的完整性。烏衣斯特在接受電話采訪時(shí)說(shuō)，“智能電視的安全性“讓人不敢恭維”。

　　所有這些小問(wèn)題會(huì)釀成讓人煩惱的大問(wèn)題，尤其是在智能電視與商務(wù)活動(dòng)日趨融合、人們?cè)絹?lái)越多地在電視上輸入支付卡信息的情況下。

　　移動(dòng)設(shè)備安全廠商0xID聯(lián)合創(chuàng)始人斯科特吳(Scott Wu)說(shuō)，“我妻子喜歡黑色星期五在電視上購(gòu)物。用戶會(huì)把財(cái)務(wù)信息與電視捆綁在一起?！?/p>

　　克萊格揚(yáng)表示，盡管能抵擋網(wǎng)絡(luò)攻擊，反病毒軟件也會(huì)降低系統(tǒng)性能，問(wèn)題變成“在電視上運(yùn)行安全軟件是否意味著Netflix會(huì)卡頓，這將影響智能電視安全解決方案的普及”。

　　斯科特吳表示，至少Android的授權(quán)模式，能限制在沒(méi)有獲得用戶明確批準(zhǔn)的情況下應(yīng)用的功能，從而限制了惡意應(yīng)用在智能電視上興風(fēng)作浪的能力。但用戶可能愚蠢地?zé)o視警告信息，繼續(xù)觀看電視節(jié)目。

　　克萊格揚(yáng)指出，與智能電視有關(guān)的問(wèn)題同樣會(huì)影響大量所謂的物聯(lián)網(wǎng)設(shè)備，專家擔(dān)心物聯(lián)網(wǎng)設(shè)備會(huì)受到攻擊。

　　Computerworld指出，部分公司利用能夠監(jiān)測(cè)網(wǎng)絡(luò)上異?，F(xiàn)象的新產(chǎn)品而非反病毒軟件解決這一擔(dān)憂。例如，F(xiàn)-Secure的Sense和Dojo-Labs的產(chǎn)品，能監(jiān)測(cè)家庭網(wǎng)絡(luò)上許多設(shè)備的流量，從中發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的蛛絲馬跡。克萊格?揚(yáng)說(shuō)，“很顯然的是，業(yè)內(nèi)人士在考慮這一問(wèn)題?！?/p>