Letv智能電視 易遭黑客入侵隨時被盜信用卡資料兼偷窺
1 :
GS(14)@2015-03-15 14:50:06
■樂視Letv的智能電視被發現系統有漏洞,有機會被黑客入侵監控用戶;圖為型號S40 Air。何柏佳攝
【《蘋果》測試】【本報訊】可上網裝Apps的智能電視日趨普及。《蘋果》委託資訊保安公司為市面上三款熱賣的中、日、韓智能電視進行測試,發現以平價作招徠的國產品牌樂視(Letv),其作業系統內存漏洞,黑客可藉此偷偷安裝惡意程式,偷取用家的信用卡資料,甚至控制電視上的相機鏡頭,偷窺錄影用家的起居生活。記者:梁御和
近年大熱的智能電視(Smart TV),是指內置作業系統,可供用戶上網及安裝應用程式(Apps)的家用電視機,操作原理與智能手機大同小異。本報早前委託資訊保安公司Nexusguard Consulting為Sony(型號:BRAVIA W700B)、LG(型號:50LA6200)及Letv(型號:S50 Air)三款智能電視進行檢測,評估三款機被入侵的風險。
專家:監控欠佳
用作測試的Letv電視是透過淘寶從內地訂購,Nexusguard顧問崔小聰指,Letv的作業系統採用Android,並由廠方「Root機」修改;檢測過程中,他發現系統內遺留了只供廠方內部使用的「開發者工具」程式,「呢啲工具可以方便黑客喺系統內部安裝惡意程式」。崔隨即為《蘋果》示範,以電腦連接電視後,即可遙距使用該開發者工具在電視內偷偷安裝惡意程式,過程中電視機畫面全無異樣,沒有顯示任何通知。安裝惡意程式後,黑客便可藉此監控及偷取用家儲存在機內的個人資料,例如賬戶、密碼及信用卡資料等、又或將電視變作「殭屍電視」,對其他人發動DDoS攻擊,「最嚴重可以控制埋電視嘅相機鏡頭,偷拍用家嘅生活情況,用家唔會察覺」。崔小聰解釋,開發者工具主要方便廠方調整系統,故一般擁有較高權限,可直接在系統內存取資料或控制硬件;出廠前,廠方一般會為產品進行測試及優化,確保刪走這些工具,避免被黑客利用作入侵之用,出廠後如系統仍遺留這些工具,表示產品的品質監控欠佳,「好多時受到攻擊或者出現漏洞,就係因為俾外來攻擊者搵到(系統)入面有呢啲工具套件」。崔又提醒,一般用家購買智能電視後,大多會自行下載播放器Apps作睇戲及「煲劇」之用,但部份不明來歷的Apps或內藏「後門」,一旦安裝,黑客便可自由連接電視系統,盜取機內資料;如機內系統本身存在漏洞,便可再進一步控制電視其他功能。另外兩款Sony及LG智能電視,由於使用專用作業系統,所有Apps要先得到廠方授權才可安裝,除非用家將系統解鎖(Root機),破壞保安設定,否則入侵這類電視的難度相對較大。樂視去年起打入香港市場,分別推出四十吋及五十吋兩款大型電視,定價低至三千餘元,部份款式更配置4K超高清顯示器,較其他日韓品牌便宜近半;機內內置的樂視網也預載逾萬套中外電影及電視劇,加上系統支援市面上其他Android Apps,在香港及內地大受歡迎。
樂視:方便測試
樂視回應指,系統內的開發者工具是方便研發商進行測試,至於為何出廠後仍遺留在系統內,樂視則解釋已按照Android指引,預設防止用家取得該工具的使用權限,只要正常使用便能減低黑客入侵機會。黑客可藉系統漏洞入侵智能裝置,對用戶作全面監控,但全國人大常委會正進行二審的《反恐怖主義法》草案,卻明文要求所有電訊及互聯網公司也要在產品系統內加設「後門」,供國內執法部門作監控之用,有關草案料數周內獲通過。由於受監管公司涵蓋在中國境內營商的外國公司,引起美國不滿。
來源:
http://hk.apple.nextmedia.com/news/art/20150315/19076870