ice 随着互联网和人工智能终端的快速发展,联网已经成为各类智能终端必备的能力,人工智能电视也在发展过程中通过丰富的互联网资源和服务为使用者带来生活上的便利与享受。但是经检测却发现多款人工智能电视存在内容劫持的问题。攻击者可通过网络劫持,对通信过程中的内容进行窃取、篡改等操作,造成用户信息泄露,设备被劫持控制等严重问题。
检测人员在实际分析中发现某款智能电视可以通过内容劫持获得诸如:用户账号,登陆令牌等重要信息。通过内容劫持,攻击者可随意更换智能电视所显示的屏保图片和视频。恶意攻击者借此可以在家庭或公开场合播放反动、色情等非法内容的画面,造成不良社会影响。因此,当前智能电视急需针对内容劫持问题进行必要的安全防范。
内容劫持导致信息泄露
某品牌电视内一款用来管控用户账户系统的内置应用,该应用需要用户的账号密码登陆并与远端服务器通信。检测人员通过工具对该应用进行了逆向分析,发现该应用虽然采用了https通信,但是却未正确地进行证书绑定校验,攻击者可以通过对设备植入伪造证书截获当前https通信。利用这些敏感信息伪造登陆服务器,进行进一步攻击,造成用户信息及财产等损失。
内容劫持导致屏保、广告展示可被任意替换
屏保展示作为电视厂商对用户进行品牌宣传、广告投放等推广手段,已成为智能电视的标配。检测人员对某品牌的屏保程序进行分析,该屏保程序会通过服务器定期下载图片、视频用作屏保和广告。由于采用不安全的通信方式,该程序极易发生内容被劫持,然后将电视显示内容替换成为其他任意内容。
人工智能电视的优势是其强大的信息交互功能,包括呈现给用户的展示内容,用户的各类信息数据交互等。如果内容存在被劫持的风险,轻则会造成个人的隐私泄露,设备被劫持,重则可能被利用来传播非法内容,造成严重的社会不良影响。因此,实验室建议智能电视厂商能够提高智能设备通信所采用的加密等级,同时,正确配置使用,防止诸如上述相关内容劫持问题的发生,造成不良影响。实验室愿意携手相关厂商,助力我国的人工智能电视行业健康、良性、有序地发展。
