Všechny tyto služby představují potenciální hrozbu, protože stejně jako u dalších chytrých zařízení mohou být lehce zneužity pro šíření škodlivých kódů a dalších kyberzločineckých kampaní. Největší riziko v tomto ohledu představují Smart TV s operačním systémem Android TV. Jaká jsou hlavní slabá místa chytrých televizorů a na co byste si měli dávat pozor?

1. Operační systém

Různí výrobci používají pro své chytré televizory různé operační systémy. V zásadě se ale můžete setkat se čtyřmi: Samsung má vlastní operační systém Tizen, LG používá WebOS, Panasonic má operační systém My Home Screen a Sony s Philipsem a několika menšími značkami využívají Android TV. Poslední jmenovaný systém je odvozen od všeobecně rozšířeného Androidu, který používá většina chytrých telefonů a tabletů. Bývá také nejčastěji napadán útočníky. Divák by proto měl zajistit jeho pravidelnou aktualizaci a dbát stejných bezpečnostních pravidel jako u smartphonů a tabletů s operačním systémem Android.

2. Aplikace

Chytré televizory mají už v továrním nastavení předinstalované základní aplikace. Další si může uživatel stáhnout a spustit sám, televizor mu ale umožní využít pouze oficiální obchody s aplikacemi. V případě Android TV jde o všeobecně známý Google Play, v němž se mohou vyskytnout aplikace se škodlivým obsahem. Před stažením jakékoli aplikace by tedy uživatel měl prověřit jejího autora, podívat se na její hodnocení a počet stažení, a také si přečíst komentáře uživatelů, kteří si ji stáhli před ním. Veškeré používané aplikace je třeba pravidelně aktualizovat a nepoužívané mazat.

3. Webový prohlížeč

Jednou z nejslabších míst chytrých televizorů může být webový prohlížeč. Jestliže jeho prostřednictvím na televizní obrazovce coby obrovském monitoru surfujete na internetu, pořádně si rozmyslete, jaké webové stránky navštívíte. Ze škodlivé stránky si můžete nepozorovaně do Smart TV stáhnout malware, který napáchá velké škody. Nezřídka se takto šíří trojany a různá zadní vrátka, která umožňují do televizoru stáhnout další škodlivé kódy, včetně špionážního softwaru, který dokáže zneužít webkameru či zabudovaný mikrofon.

4. Elektronická pošta

Vyřizovat e-maily přes televizní obrazovku se nemusí vyplatit, pokud striktně nedodržujete zásady bezpečné práce na internetu. Rozhodně byste neměli otevírat přílohy u nevyžádaných a podezřelých e-mailů, klikat na odkazy vedoucí na neznámé stránky a vyplňovat svoje osobní údaje do podezřelých formulářů. Používejte také kvalitní a silná hesla pro přihlašování do e-mailové schránky. Heslo do pošty by mělo být unikátní a neměli byste jej používat pro žádnou další internetovou službu. I tak byste jej měli jednou za čas změnit.

5. Bezpečnostní software

I pro chytré televizory existuje účinný bezpečnostní software, který vás ochrání před základními i pokročilými internetovými hrozbami. Konkrétně u televizorů s operačním systémem Android TV jde o ESET Smart TV Security. Jde o aplikaci, která vychází z populární mobilní verze ESET Mobile Security.

Bezplatná základní verze nabízí antivirus, ochranu proti vyděračskému ransomwaru, automatické aktualizace, kontrolu USB zařízení připojených k televizoru a ochranu v reálném čase. Prémiovými funkcemi jsou anti-phishing a možnost nastavení plánovaných kontrol v čase, který vyhovuje uživateli. Prémiové funkce můžetevyužívat na všech vašich Android zařízeních, ať už je to telefon, tablet nebo Smart TV. Stačí se přihlásit pod stejným Google účtem.

Pro výzkum bylo využito 186 Wi-Fi routerů ze segmentu SOHO (malá kancelář či domácnost). Routery byly od 14 různých výrobců dostupných na americkém trhu.

„Naše analýza ukazuje, že ze 186 testovaných routerů je 155 (83 %) zranitelných vůči potenciálním kybernetickým útokům na firmware. Na každý ze 155 identifikovaných routerů připadá 186 zranitelností,“ uvádí report nazvaný Bezpečnost IoT zařízení: Jak bezpečný je váš Wi-Fi router. To je více než 32 003 známých bezpečnostních děr.

Riziko pro uživatele spočívá v kompromitování osobních informací, což může vést k dalším škodlivým aktivitám, krádežím identity nebo jiným podvodům. Napadený router může útočníkům také sloužit jako vstup do vaší sítě.

Samozřejmě, že ne všechny zranitelnosti routerů jsou stejně závažné

Podle databáze NVD (National Vulnerability Database’s ranking of vulnerabilities) je 7 procent detekovaných zranitelností kritických a dalších 21 procent je klasifikováno jako chyby s vysokým rizikem zranitelnosti. Střední riziko vykazuje 60 procent chyb. V průměru každý router obsahoval 12 kritických zranitelností a 36 zranitelností s vysokou závažností.

Bezpečnost routeru není radno podceňovat. Zabezpečení přitom nemusí být nic složitého, stačí dodržovat několik základních pravidel. Více informací se dozvíte v článku Jak správně zabezpečit router a zabránit tak prolomení vaší wi-fi? nebo 5 rad pro zabezpečení routeru.

K těmto číslům je důležité podotknout, že jsou ve skutečnosti ještě vyšší, záznamy totiž neobsahují tzv. zranitelnosti nultého dne.

Když se podíváte na tyto záznamy, stojí za to podotknout, že v roce 2017 bylo hlášeno průměrně čtyřicet zranitelností denně, přitom v roce 2016 to bylo pouze sedmnáct zranitelností denně.

Roste také počet zranitelností s vysokou a kritickou závažností

Vážnost zranitelností je určována na základě různých faktorů, například jejich vliv na důvěrnost, integritu nebo dostupnost dat. Také je zohledněna komplexnost útoku, požadovaná privilegia nebo jakákoli interakce s uživatelem. K vypracování je potřeba systém pro vypočítání negativních účinků.

Systém hodnocení zranitelností CVSS (The Common Vulnerability Score System) byl navržen k poskytování otevřené standardizované metody posuzování vlivu zranitelností a využívá se k vyčíslení vážnosti jednotlivých zranitelností. V tuto chvíli se využívají dvě verze tohoto systému (CVSS v2.0 a CVSS v3.0).

V roce 2017 bylo v průměru nahlášeno 40 zranitelností denně

V obou případech systém hodnocení obsahuje tři skupiny metrik použitých pro výpočet skóre. První skupina, nazvaná základní skupina, představuje vnitřní vlastnosti této zranitelnosti.

Druhá skupina, známá také jako dočasná skupina, odráží charakteristiky, které se během času mění. Třetí, skupina měřítek životního prostředí, bere v úvahu charakteristiky zranitelností, které jsou jedinečné pro kontext uživatele provádějícího hodnocení.

Přiřazením hodnot k základním metrikám vznikne skóre mezi 0 a 10, což reprezentuje vážnost zranitelností. V CVSS v2.0 jsou zranitelnosti rozděleny do tří kategorií: nízké 0 – 3,9; střední 4 – 6,9; vysoké 7 – 10. V CVSS v3.0 je kategorií pět: žádné 0; nízké 0,1 – 3,9; střední 4 – 6,9; vysoké 7 – 8,9; kritické 9 – 10.

Stojí za to zmínit, že v roce 2017 se podle databáze NVD (National Vulnerability Database) zvýšil počet zranitelností hodnocených jako vysoké (podle CVSS v2.0) a kritické (podle CVSS v3.0).

Zranitelnosti považované za kritické významně narostly za posledních pět let, od roku 2016 se téměř zdvojnásobily.

U zranitelností považovaných v hodnocení CVSS v2.0 za vysoké si můžete také všimnout nárůstu o více než 60 %, z 2 470 v roce 2016 na 4 148 ke konci roku 2017.

Na grafu výše můžete vidět velký nárůst počtu zranitelností nahlášených v předchozích měsících. S vědomím, že došlo k velkému nárůstu zranitelností označených jako vysoké a kritické, je příznačné označit rok 2017 jako rok zranitelností.

Zajímá vás, jaké největší internetové hrozby se objevily v České republice za loňský rok? Pokud ano, určitě si přečtěte článek Co nás nejvíce ohrožovalo v roce 2017.

Zranitelnosti objevil odborník Benjamin Watson, který je znám jako rotlogix. Zneužití nově objevených chyb nebude asi úplně jednoduché – tedy v případě, že se k internetu nepřipojujete z nezabezpečených a neznámých sítí. Útok by totiž mohl vést útočník, který by měl schopnost monitorovat a modifikovat síťový provoz. Díky tomu by dokázal pozměnit funkcionalitu pro stahování a využívání nových doplňků pro prohlížeč. Využití této chyby by pak mohlo vést k zápisu škodlivých souborů i mimo úložiště používané prohlížečem. Chybu Watson podrobně popsal na svém blogu.

Watson na svém blogu doporučil uvedený prohlížeč nepoužívat. Jistě, objevené zranitelnosti mohou vést ke zneužití mobilního zařízení uživatele, proto je dobré takové nebezpečné aplikace nepoužívat. Zde bychom mohli vypsat miliony dalších aplikací, které obsahují nějakou zranitelnost. Prohlížeče jako Chrome, Opera také obsahují chyby, přesto je používá obrovské množství uživatelů.

Vývojáři aplikací by měli děkovat lidem, kteří tráví hodiny svého času prověřování bezpečnosti aplikací.

Obyčejný uživatel má šanci podobné aplikace neinstalovat a používat antivirové řešení.

Zranitelnost obsahují všechny verze OS Android od verze 2.2 (Froyo), což v číslech znamená 950 miliónů zařízení po celém světě. Google sice jistě opravný patch vydá, ale vzhledem k tomu, že ne všichni výrobci jsou v aktualizacích OS aktivní, dá se předpokládat, že zranitelnost Stagefright s námi bude ještě velmi dlouho. Paradoxně v současné době obsahuje opravný patch pouze populární neoficiální ROMka Cyanogenmod.

Sečteno podtrženo o nafouknutou bublinu rozhodně nejde, a pokud by vznikl škodlivý kód na bázi zranitelnosti Stagefright, zcela jistě by napáchal velké škody. Bez opravného patche se můžete prozatím bránit pouze pasivně a to zapnutím automatických aktualizací systému, nepřijímáním MMS zprávy z neznámých čísel, vypnutím automatického načítání MMS zpráv a používáním prohlížeče, který danou zranitelnost neobsahuje (např. firefox 38+).

Společnost ESET vydala aplikaci ESET Stagefright Detector, pomocí které si můžete zkontrolovat, zda vaše zařízení zranitelnost obsahuje či nikoli. Stáhnout ji můžete přímo z GooglePlay.

Nejprve bylo potřeba obejít schvalovací proces u Apple, aby svou vlastní vytvořenou aplikaci dostali do oficiálního prodeje. Pokud by si uživatel takovou aplikaci stáhl, došlo by k prolomení systému zabezpečení hesel a sandboxu pro aplikace, a poté k ukradení citlivých dat z různých aplikací a webových stránek, které uživatel používá. Podle zprávy šlo takto získat údaje z 88 procent aplikací.

Jeden z členů výzkumného týmu Luyi Xing pro server The Register uvedl, že kromě výše popsaných informací v průběhu pokusu objevili další zranitelnosti v interní komunikaci mezi OS X a iOS, které mohou být využity k ukradení dat z Evernote, Facebooku a dalších populárních aplikací. Podle serveru výzkumníci upozornili společnost Apple na existenci chyby již v únoru tohoto roku a byli požádáni půlroční pozdržení oznámení.

Co z toho plyne pro běžného uživatele zařízení Apple? I když jde v zásadě pouze o „akademický“ případ, neměl by zapomínat na bezpečnost a před stažením aplikace si raději dvakrát ověřit, že stahuje opravdu aplikaci, kterou hledá.

zdroj: welivesecurity.com