שני חוקרים מאוניברסיטת קולומביה איתרו פריצה בסטנדרט הקיים במגוון רחב של טלוויזיות חכמות הנמכרות באירופה. בעזרתה, יכולים האקרים לחדור אל הטלוויזיה המחוברת לרשת האינטרנט וממנה אל הרשת הביתית כולה – מבלי שהצופים יהיו מודעים לכך.
על פי המאמר שפרסמו צמד החוקרים, יוסי אורן ואנגלוס קרומיטיס, הפירצה היא בסטנדרט HbbTV (ראשי תיבות של Hybrid Broadcast Broadband TV), המאפשר למשתמשים לצפות בתכנים ממקורות כגון שידורים דיגיטליים (ממיר), מכשירים מחוברים (מחשבים אחרים בבית) והאינטרנט. הם העניקו לפריצה את הכינוי "מתקפת כפתור אדום" (Red Button attack), הודות לכפתור האדום בשלט המשמש לגישה לתכונות השונות בטלוויזיות החכמות.
הפריצה מתבצעת כאשר המשתמש צופה בערוץ מסויים. האקר יכול לזהות את תדר השידור האלחוטי, לפרוץ אליו ולשדר קוד זדוני שישפיע על מערכות המשתמש ויעניק לו גישה למגוון השירותים המוטמעים בטלוויזיה, כגון שמות משתמש וסיסמאות לפייסבוק, יוטיוב וכדומה, ואף גישה אל שאר המכשירים המחוברים אל הרשת האלחוטית הביתית ולהשיג גם מהם מידע חשוב.
התקפה כזו רצה ברקע מבלי שהצופים יהיו מודעים לכך, וגם במידה והתגלתה יהיה כמעט בלתי אפשרי להגיע אל מקורה, הודות לעובדה שהתוקף אינו צריך להשתמש בתיווך בין המחשב שלו לטלוויזיה, המשאיר עקבות שניתן לעקוב אחריהן.
עוד ב-Geektime:
>> שירות Google Now לומד להודיע לכם מתי לרדת מהאוטובוס
>> ארבעה משחקים מומלצים לסמארטפון שלכם
אורן וקרומיטיס הציגו את הפריצה כבר בדצמבר האחרון, אך היא לא קיבלה חשיפה רבה, שכן נקבע כי אינה חמורה מספיק על מנת לחייב שינוי של הסטנדרטים הקיימים. זאת לאור העובדה שהיא דורשת השקעה רבה מצד ההאקרים ואינה יכולה להגיע אל מספר גדול של משתמשים, שכן היא מחייבת קרבה פיזית לכל טלוויזיה בנפרד, ללא יכולת להפיץ את הפריצה הלאה למכשירים נוספים, אלא אם ההאקרים ישקיעו בהרכבת ציוד הפריצה על כטב"מים (כלי טיס בלתי מאוישים) כגון קואדרוקופטרים.
עם זאת, אורן אינו מסכים עם הקביעה שהאקרים יעדיפו שלא להשקיע בפריצה הזו. לדבריו, השקעה של כ-200 דולר עבור חומרה וגישה לגגות בנייני מגורים, משרדים וכדומה תאפשר להאקרים לכסות שטח של כ-1.4 קילומטרים רבועים עם מכשיר אחד. אורן מיפה את ניו יורק והגיע למסקנה כי מספיק להציג מכשיר כזה על גג בניין בקווינס על מנת להגיע אל כ-70 אלף משתמשים לכל קילומטר רבוע.
הפתרון אותו מציע אורן, בשלב זה, הוא להגדיר שהמשתמשים יתבקשו לאשר ידנית בכל פעם שאפליקציה או שירות מתחילים לרוץ על הטלוויזיה החכמה, כמו גם להציג תזכורות של האפליקציות השונות שרצות. עם זאת, לאור העובדה שהמשתמשים יכולים פשוט להחליף ערוץ בטלוויזיה או פשוט לנתק אותה מהאינטרנט על מנת להגן על עצמם, סביר להניח שלא נוכל לראות תיקונים, עדכונים או שדרוגים שיעזרו להגן על המשתמשים - לפחות לא עד שיוכח שהמתקפות הופכות נפוצות מספיק להוות איום משמעותי.