TCL智能电视存在后门安全缺陷

2020-11-19 08:17:34

UPDATE 11/18:

TCL在11月16日的声明中表示,“尽管发现已对其错误进行了改进,但它还是“迅速采取了调查,彻底测试,开发补丁程序并实施了发送更新以解决此问题的计划”。报告过程是必需的。

TCL表示:“展望未来,我们正在制定流程,以更好地响应第三方的发现,并为我们的客户服务代理进行有关这些问题的升级程序的额外培训,以及在线建立直接报告系统。”

TCL补充说:“更新设备和应用程序以增强安全性在技术行业中是经常发生的事,这些更新应在未来几天内分发给所有受影响的Android TV机型。” “ TCL非常重视隐私和安全性,特别感谢独立研究人员在技术生态系统中发挥的至关重要的作用。”

TCL表示,该问题影响“数量有限”的电视-型号32S330、40S330、43S434、50S434、55S434、65S434和75S434。

在这两个错误中,CVE-2020-24703不影响在北美销售的产品。该问题的修复程序于10月30日通过APK升级开始推出。它涉及T-Cast(Magic Connect)应用程序,该应用程序允许通过移动设备进行流式传输。

TCL说:“此漏洞允许通过LAN查看内容目录,但是没有写或执行权限。” “ T-Cast从未安装在美国或加拿大发行的电视上,因此这些产品上不存在此漏洞。”

但是,第二个错误确实影响了在美国和加拿大销售的电视。“ TCL实验室日以继夜地测试系统升级解决方案,以解决CVE-2020-28055以完成目录权限的修改。在成功进行测试之前,预计更新将在未来几天内分发, TCL周一表示。

至于TCL对电视的访问类型,该公司表示,“只有在用户在诊断过程中要求采取这种措施时,它才能远程远程操作电视的大多数功能。该过程必须由用户启动并输入代码提供给TCL客户服务代理商以便对电视进行诊断访问。此功能在北美市场从未实现。”

原始故事11/15:两名安全研究人员表示,

基于Android的TCL智能电视存在安全问题。

安全研究人员“ Sick Codes”和Shutterstock应用程序安全工程师John Jackson进行的为期三个月的调查发现,可以通过未记录的TCP / IP端口通过Wi-Fi访问TCL智能电视文件系统,然后收集,删除或覆盖文件而无需任何密码或安全检查。该问题不会影响基于Roku的TCL电视。

Sick Codes在接受Tom's Guide采访时声称,其中一种TCL电视应用程序称为Terminal Manager Remote,是“中文后门” ,尽管他不知道它是否在发送或接收信息。Sick Codes和Jackson向网站提供了一个URL,该URL授予作者在赞比亚的TCL智能电视的访问权限,他们可以在其中浏览电视的目录,直到用户关闭设备为止。

研究人员试图警告TCL他们的发现,但没有得到答复。TCL支持人员告诉Sick Codes,“她没有安全小组的联系信息,甚至都不知道TCL是否有安全小组。” 他们还联系了美国计算机紧急响应小组(US-CERT),该小组花了一些时间进行答复,但最终告诉他们如果没有收到TCL的答复,则透露该漏洞。

最终,问题在Sick Codes的电视上以“无声补丁”修复。他告诉The Security Ledger,TCL“基本上登录了我的电视并关闭了端口。” 此修补程序并不适用于所有TCL模型,但是,如Sick Codes所述,此“后门”意味着该公司也可以完全使用消费者模型。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。