11-05-2014, 20:55
Smart televisies af te luisteren via ingebouwde microfoon
Smart televisies die over een ingebouwde microfoon beschikken zijn eenvoudig af te luisteren, zo waarschuwt het Britse beveiligingsbedrijf NCC Group. Het bedrijf gaf vorig maand tijdens de Infosec Europe conferentie een demonstratie van een aanval op een 'slimme televisie'.
De televisies beschikken vaak over ingebouwde microfoons en webcams die door apps zoals Skype gebruikt kunnen worden. Het biedt echter ook de mogelijkheid om mensen in het geheim af te luisteren. "Het installeren van de afluistersoftware vereist fysieke toegang tot het toestel, en is de manier waarop wij het hebben gedaan, maar kan ook via het installeren van een kwaadaardige app", zegt NCC Group consultant Felix Ingram tegenover The Register. De kwaadaardige apps zouden bijvoorbeeld via de app store van de fabrikant kunnen worden gedownload.
Een andere aanvalsvector is de automatische updatefunctie. Een aanvaller zou een legitieme app kunnen uitbrengen, om die vervolgens via een kwaadaardige update in een afluister-app te veranderen. Tijdens de demonstratie werd de interne opslag van de televisie gebruikt voor het opnemen van 30 seconden aan audio, maar de onderzoekers merken op dat een langere periode ook mogelijk is. Niet alleen beschikken de televisies over meer opslagruimte, een aanvaller zou de audio ook direct naar een server kunnen streamen, omdat de tv's vaak ook internettoegang hebben.
Smart televisies die over een ingebouwde microfoon beschikken zijn eenvoudig af te luisteren, zo waarschuwt het Britse beveiligingsbedrijf NCC Group. Het bedrijf gaf vorig maand tijdens de Infosec Europe conferentie een demonstratie van een aanval op een 'slimme televisie'.
De televisies beschikken vaak over ingebouwde microfoons en webcams die door apps zoals Skype gebruikt kunnen worden. Het biedt echter ook de mogelijkheid om mensen in het geheim af te luisteren. "Het installeren van de afluistersoftware vereist fysieke toegang tot het toestel, en is de manier waarop wij het hebben gedaan, maar kan ook via het installeren van een kwaadaardige app", zegt NCC Group consultant Felix Ingram tegenover The Register. De kwaadaardige apps zouden bijvoorbeeld via de app store van de fabrikant kunnen worden gedownload.
Een andere aanvalsvector is de automatische updatefunctie. Een aanvaller zou een legitieme app kunnen uitbrengen, om die vervolgens via een kwaadaardige update in een afluister-app te veranderen. Tijdens de demonstratie werd de interne opslag van de televisie gebruikt voor het opnemen van 30 seconden aan audio, maar de onderzoekers merken op dat een langere periode ook mogelijk is. Niet alleen beschikken de televisies over meer opslagruimte, een aanvaller zou de audio ook direct naar een server kunnen streamen, omdat de tv's vaak ook internettoegang hebben.