Android 智慧型電視後門程式現身,小心別下載到惡意程式

隨著歲末購物季結束,許多消費者家裡都添購了各式各樣的智慧型裝置,其中一項熱門的物聯網 (Internet of Things,簡稱 IoT) 裝置就是智慧型電視。這類電視有別於以往只是被動播放影像的裝置,許多甚至可執行 Android 應用程式。或許有些人會覺得這項功能非常實用,但這樣的功能卻有其風險。(早在兩年前我們就已探討過智慧型電視的問題。)

智慧型電視可讓使用者觀賞其他途徑無法取得的其他國家頻道,是一項許多消費者都覺得相當實用的功能。問題是,某些應用程式卻會讓使用者暴露在危險當中。我們發現有些應用程式會攻擊CVE-2014-7911這個Android系統存在已久的舊漏洞(Lollipop 5.0之前的版本:從Cupcake 1.5 至 Kitkat 4.4W.2),也就是我們偵測到的ANDROIDOS_ROOTSTV.A惡意程式。

今日絕大多數智慧型電視使用的都是舊版 Android 系統,因此這個漏洞仍然存在。而這些含有漏洞的智慧型電視品牌包括:長虹 (Changhong)、康佳 (Konka)、小米 (Mi)、Philips、Panasonic 以及Sharp。其實,其他仍在使用舊版 Android 的裝置同樣也存在著危險,只不過剛好這類應用程式主要都用於智慧型電視或者智慧型電視機上盒而已。

下表整理了一些專門散布這類惡意程式的網站,這些網站都隸屬於H.TV  這個品牌旗下,其使用者大多位於美國或加拿大。

圖片編號 散布智慧型電視惡意程式的網站
圖 1 http://pf3a[.]res4f[.]com
http://www[.]htvmarket[.]com
http://mak[.]wak2p[.]com
http://wh[.]waks2[.]com
圖 2 https://sites[.]google[.]com/site/htvfanshare/2012summer_collection

 

除了前述網站之外,惡意程式也會經由下列伺服器下載:

網域 範例
meiz.le2ui.com http://meiz[.]le2ui[.]com:80/marketdatas/apk/ChineseVideo2.11.1.apk
yaz.e3wsv.com http://yaz[.]e3wsv[.]com:80/marketdatas/apk/ChineseVideo2.11.1.apk

 

攻擊過程

那麼,這項威脅是經由何種方式發動攻擊?首先,駭客會先引誘智慧型電視使用者前往前述網站下載已遭感染的惡意程式。一旦程式安裝到電視機之後,駭客就會觸發系統的漏洞。駭客會利用一些廣為人知的漏洞攻擊技巧,例如:記憶體塗鴉 (heap spraying) 或返回指標程式碼 (return-oriented programming) 來取得系統管理權限。

在取得系統管理權限之後,駭客就會在系統上偷偷安裝其他應用程式或惡意程式。根據我們的分析顯示,駭客會從遠端更新程式,也會從遠端將相關應用程式推送至電視機上。

不過請注意,這些遠端安裝的應用程式是利用 HTTP 連線來下載,而非 HTTPS 連線。因此,若有「第二個」暗中觀察這項行為的駭客,就能透過中間人攻擊來篡改第一個駭客的下載動作,進而下載別的應用程式到電視機上。

如何保護您的智慧型電視

您可利用趨勢科技的「行動安全防護」軟體來偵測這項威脅。雖然大多數的 Android 裝置都很容易升級到最新的系統版本,但智慧型電視卻礙於硬體設計上的限制而無法輕易升級。因此,我們建議的替代作法是在電視機上安裝一套防護軟體,並且避免安裝非 Google 官方網站提供的應用程式。

如需了解更多有關智慧型電視的問題,請參閱這份圖文解說:智慧型電視準備邁入主流了嗎?(Are Smart TVs Ready for Prime Time?)