Hackear fácilmente una TCL SmartTV mediante la explotación de estas vulnerabilidades
Desde el auge de las plataformas de streaming millones de usuarios consideran fundamental contar con un smart TV en sus hogares. Esta tendencia ha favorecido a compañías que antes no gozaban de amplia popularidad, como TCL, que se ha convertido en el tercer fabricante más grande en este ramo.
No obstante, la popularidad de estos televisores también ha hecho que los especialistas pongan más atención a la seguridad de estos dispositivos, conduciendo a la detección de algunas severas vulnerabilidades de seguridad que podrían comprometer la información de los usuarios.
Un grupo de investigadores realizó un escaneo usando Nmap con la que se detectaron diversos puertos TCP abiertos que podrían ser abusados por grupos de actores de amenazas. Además, usando las direcciones IP de los puertos abiertos los especialistas pudieron acceder a ellos a través de un navegador web convencional.
Aunque algunos puertos no se abrieron o hicieron que el navegador se bloqueara, algunos de ellos mostraron mensajes interesantes, como que el usuario no podía acceder a un archivo en particular. Al probar con otra dirección (“http://10.0.0.117:7989/sdcard”), la búsqueda finalmente arrojó los resultados a un directorio servido completamente a través de HTTP, algo muy poco recomendado por la comunidad de la ciberseguridad.
“¿Por qué un dispositivo Android necesitaría un servidor web que se ejecute en un puerto no estándar? ¿Qué tipo de fabricante publica todo el sistema de archivos de un dispositivo?”, mencionan los investigadores.
Esta conducta ya ha sido reportada a TCL, a lo que la compañía respondió informando que las vulnerabilidades ya habían sido corregidas: “Los archivos expuestos no deben ser escribibles de forma arbitraria por usuarios o APKs potencialmente maliciosos”, concluyen los investigadores.
Aunque la compañía fue informada en tiempo y forma sobre estas fallas, parece que los investigadores a cargo del hallazgo no recibieron compensación alguna. Además, la compañía no ha compartido mayores informes sobre el proceso de corrección de estas fallas. Muchos especialistas consideran que este tipo de prácticas son muy frecuentes cuando se trata de dispositivos que funcionan como opciones más baratas, por lo que, por seguridad, quizá los usuarios deban reconsiderar su decisión entre un smart TV más barato o con mejor seguridad.
