Smart TV: l’HbbTV esegue qualunque malware gli venga inviato

in sintesi un interessante articolo di Paolo Attivissimo che leggo sul Disinformatico – Se hai questo tipo di televisore, meglio se lo leggi integralmente, metti mai… (che poi, Smart non sta per “furbo”? )

Sembra proprio che i progettisti delle Smart TV e dei nuovi standard televisivi non vogliano imparare una delle lezioni fondamentali della sicurezza informatica: non ti puoi fidare ciecamente di quello che ti arriva da fuori ed eseguirlo senza verifiche.

Dopo le TV Samsung che permettono agli intrusi di guardare in casa via Internet, quelle della LG che mandano alla casa madre un avviso ogni volta che accendiamo e spegniamo l’apparecchio e l’elenco dei file video che guardiamo, e quelle della Philips che hanno password non modificabili e permettono agli intrusi di prenderne il controllo, arriva un problema a un livello più alto: lo standard HbbTV è vulnerabile.

Come spiega bene Forbes, lo standard HbbTV (Hybrid Broadcast Broadband TV), supportato in quasi tutti gli apparecchi Smart TV, consente alle emittenti di inviare software ai televisori predisposti, con l’intento di fornire servizi come le pubblicità interattive, il televoto, i giochi, i social network e le guide ai programmi. Il guaio è che questo standard non fa alcun controllo di sicurezza su quello che riceve. Si fida ciecamente.

Questo permette attacchi spettacolari e inattesi: per esempio, un aggressore piazza un apposito trasmettitore che imita le normali trasmissioni TV digitali, lasciando intatte le immagini ma iniettando nella parte HbbTV del segnale del software ostile.

Questo software ostile viene eseguito dalla Smart TV senza alcuna verifica preliminare e senza chiedere il consenso dell’utente. Siccome la Smart TV è collegata al resto della rete domestica, il malware cerca router Wifi e PC che non si aspettano attacchi dall’interno e li infetta e ruba le password dei social network, postando false recensioni e post e combinando ogni sorta di sabotaggi.

I ricercatori hanno segnalato il problema ai responsabile dello standard HbbTV, che però hanno risposto che l’attacco non era sufficientemente grave; lo standard non verrà modificato e resterà vulnerabile.