智能家电使人们的生活娱乐更加便利,但你知道家中电视可能潜藏着风险吗?据新闻报导,2019年曾发生过黑客针对Google自制串流装置以及智能联网电视发动攻击,黑客利用了通用即插即用(UPnP)协议取得电视盒的主控权,并透过该协议取得网络中各项装置的使用权,用户的装置将被允许由远程黑客操作,相关机密数据报含:装置链接的Wi-Fi网络、连网时间、配对的蓝牙装置,甚至设定的闹钟等都可能曝露于公开网络,此举虽为黑客警示厂商产品有资安漏洞而非恶意攻击,但也让人陷入是否被监控的疑虑之中。
早在2016年,美国民众Darren Cauthon就遭遇自家智能电视遭Android恶意软件感染,被勒索要求支付500美金以解锁的案例,最后透过重设电视才得以解除危机。
(图片来源:@darrencauthon)
据美国FBI指出,相较手机、笔电等移动装置,电视制造商更容易忽略数字安全的重要性,因智能电视内建的摄影机、麦克风或是任何跟隐私相关的设定,都可能成为黑客攻击的目标。而不仅外接式的电视盒有风险,有线电视的智能系统也有被骇入的案例,2022年乌俄战争期间,就曾发生黑客入侵有线电视的智能系统,发布反战标语的事件。
(图截取自新闻画面)
个资危机如何解?装置检测这样做,隐私安全有把握
百佳泰统整出民众在使用智能流式播放装置时常遇到的问题,建议厂商可以从三个主要问题层面,进行全面性的资安检测:
1.浏览盗版影音网站
- 据资安业者统计,台湾去年三级警戒期间盗版影音网站链接比例激增,这类网站中暗藏许多可疑的连结,可遵循在出厂前就执行物联网弱点检测。
2.下载来路不明未经验证的追剧程序
- 当心贪小便宜的心态正中黑客下怀!主打免费、无限看的APP程序因其无法追溯源头,很容易被植入黑客程序,不仅侵权触法也可能外泄信用卡的资料,遭有心人士利用,因此建议相关资安人员可透过第三方工具检测漏洞,排除可能性。
3.购买未经验证的电视机顶盒
如同前项所述,贪小便宜的后果往往得不偿失,白牌机顶盒无法追溯制造源头以及内建软件是否已暗藏恶意软件,此外机顶盒多以早期的Android4.0操作系统为主,普遍存在旧系统版本资安漏洞、无法实时更新并修补漏洞的问题,需透过以下四项目共16点功能检测是否有疑虑:
A.可用性
- 系统更新
- Wi-Fi及蓝牙模糊测试
- 安全性回报
B.身份识别
- 工程模式
- 缴费功能身份识别
C.隐私加密
- 登入保密功能
- 最小化通讯端口
- 数据传输
- 敏感数据存取
- 数据记录删除
- 数据储存保护
D.安全功能
- 操作系统常见漏洞
- 实体端口安全
- 敏感数据储存
- Wi-Fi网络热点
- 内建软件安全
经过以上一系列的检测后,可避免绝大多数消费者在输入个资或安装软件后,装置被植入恶意软件,遭软件绑架或者取得装置的使用权,造成用户数据隐私公诸于网络世界的危机。若您对本篇文章中关于智能装置的风险分享或百佳泰的服务解决方案有兴趣或任何疑问,都欢迎与我们联系。
