Codice malevolo via segnale DVB-T: hackerate anche le Smart TV

Una Smart TV è connessa ad internet e conosce parecchie informazioni del proprio fruitore, credenziali più o meno sensibili, i suoi gusti su Netflix. Due fattori che potrebbero facilmente catturare le attenzioni di utenti malintenzionati interessati a sfruttare aggressivamente queste informazioni. Secondo una nuova ricerca riportata da Ars Technica, tuttavia, pare che ci sia un modo per veicolare segnali contraffatti sul digitale terrestre (DVB-T) per prendere il possesso di queste informazioni da remoto, senza alcuna connessione internet o fisica fra i due dispositivi.

Il metodo è stato dimostrato all'interno di un proof-of-concept dal consulente di sicurezza Rafael Scheel il quale ha utilizzato attrezzatura a basso costo per integrare comandi malevoli all'interno di un segnale televisivo e trasmetterlo a diversi Smart TV contemporaneamente. Quando il segnale viene trasmesso è possibile guadagnare l'accesso ai dispositivi sfruttando due vulnerabilità di sicurezza documentate presenti su alcuni browser per smart TV. Nei test sono stati utilizzati due televisori di Samsung, ma ciò non significa che gli altri produttori siano immuni.

L'attacco in questione è stato sviluppato da Schell proprio sui modelli della multinazionale coreana, ma sarebbe comunque possibile attaccare anche i modelli della concorrenza con codice sviluppato ad-hoc, prendendo di mira altre vulnerabilità note presenti sui browser integrati: "Una volta che l'hacker ha il controllo del televisore può danneggiare il suo proprietario in diversi modi", ha dichiarato Scheel ad Ars Technica. "Fra i tanti, il TV potrebbe essere utilizzato per attaccare altri dispositivi nella rete domestica, o spiare l'utente con la webcam del TV e il suo microfono".

Nel proof-of-concept Scheel non solo è riuscito ad ottenere il controllo del televisore, gestendolo da remoto, ma è anche riuscito a mantenerlo dopo un riavvio e un reset. Sicuramente preoccupante anche il fatto che Scheel non ha avuto bisogno di avere alcun contatto fisico con gli strumenti presi di mira nell'hack e tutte le operazioni possono essere tranquillamente svolte da remoto. La ricerca ha il fine di sensibilizzare il mercato su un problema che sta crescendo notevolmente negli ultimi periodi con la rivoluzione IoT, tuttavia i bug coinvolti pare non siano stati sfruttati attivamente.

"La ricerca è significativa perché i televisori sono utilizzati da categorie di utenti molto più variegate rispetto ai PC", ha dichiarato il ricercatore di sicurezza Yossef Oren alla fonte. "La gente che utilizza i televisori potrebbe non avere le competenze necessarie in fatto di sicurezza, non è abituata a ricevere avvisi di sicurezza sui propri televisori e solitamente non sa di dover installare aggiornamenti di sicurezza". Basta però davvero poco per mettere a rischio la sicurezza e la privacy di chi usa con superficialità il proprio televisore o qualsiasi altro elettrodomestico smart.