La conférence Black Hat Security de Las Vegas a particulièrement abordé la question de l’accès aux données personnelles dans les dispositifs adressés aux particuliers cette année.
En intégrant toujours plus d’informatique, de connexions Internet filaires ou sans-fil et même des webcams, les smart TV se rapprochent toujours plus des PC et partagent de ce fait les failles de ces systèmes.
Jeudi, Aaron Grattafiori et Josh Yavor ont fait la démonstration de l’exploitation de différentes vulnérabilités découvertes dans des modèles de Smart TV Samsung de 2012. Il leur a été possible d’allumer la caméra à distance, d’enregistrer des images, de prendre le contrôle de l’application Facebook intégrée et de Skype, ainsi qu’à tous les fichiers personnels stockés dans le téléviseur.
Selon les chercheurs, les smart TV sont vulnérables principalement parce qu’elles ne proposent qu’une seule session d’utilisateur au niveau de l’OS embarqué, et que ce compte unique bénéficie de toutes les autorisations à la façon d’un compte super administrateur.
Les Smart TV sont de plus en plus populaires, 67 millions de modèles ont été vendus en 2012 et le marché devrait atteindre plus de 85 millions cette année. Une progression " à risque " selon les chercheurs.
Prévenu des vulnérabilités de ses téléviseurs, Samsung a déjà déployé des correctifs.
L’autre point soulevé est que les applications développées pour ces téléviseurs sont souvent écrites en Javascript ou en HTML5, ce qui en fait des cibles faciles pour des attaques peu sophistiquées. Pour la démonstration, il aura simplement fallu aux deux chercheurs d’injecter du code malicieux dans des messages de chat ou directement dans le navigateur du téléviseur pour en prendre le contrôle distant.
Une fois un téléviseur compromis, le hacker dispose d’un contrôle total et peut continuer d’étendre son influence en utilisant la liste de contact de la victime.
