Continuando con la cobertura de la BlackHat, que ayer llegó a su fin en la ciudad de Las Vegas, hubo un tema que tuvo el "privilegio" en este útlimo día de contar con dos charlas e investigaciones distintas: los ataques a SmartTV. A finales del año pasado ya habíamos mencionado en nuestro documento de tendencias 2013 a estos dispositivos como un foco de interés que lentamente iría creciendo para los cibercriminales, y el hecho de que en el congreso más importante del año se de este doble espacio confirma la tendencia. Veamos entonces qué se dijo hoy en las charlas para analizar cuál será el futuro de los ataques para estas plataformas.
Hacking, Surveilling, and Deceiving Victims on Smart TV
La presentación dictada por SeungJin 'Beist' Lee estuvo centrada en el análisis genérico de la estructura de estos dispositivos, y puso especial énfasis en su investigación, la factibildiad de cargar rootkits en un SmartTV.
El investigador comenzó indicando un aspecto muy importante: no es sencillo desarrollar una amenaza para televisores inteligentes, hay muchas limitaciones para la investigación en estas plataformas, como por ejemplo:
- No hay documentación ni investigaciones previas
- Todo el análisis es en blackbox, es decir, no hay código disponible del software de estas plataformas.
- Los sistemas operativos son muy diversos.
- La investigación puede dañar tu TV y no siempre puede recuperarse con un reset de fábrica.
Una vez comenzada la investigación, el autor saca su primera conclusión: la estructura de aplicaciones de una SmartTV es muy similar a los smartphones, es decir, la instalación se realiza a través de determinados repositorios. Si un desarrollador desea hacer aplicaciones, debe subirla a dichos repositorios, pero vale destacar que las plataformas de desarrollo son más limitados: HTML, Java o Flash, dejando de lado lenguajes como C o C++ que podrían permitir realizar acciones más críticas sobre el sistema, como el llamado a system calls, entre otras cosas.
Sin embargo, en este escenario, se presentó cómo queda entonces cubierta la plataforma de ataque para SmartTV: para instalar un software malicioso, un rootkit, es necesario explotar alguna vulnerabilidad en el sistema, ya sea por métodos convencionales a través del navegador, o directamente en el SDK del vendor en cuestión.
Es entonces cuando el autor recorrió algunos bugs que fue encontrando en muchas de las APIs más populares para estas plataformas, como así también reforzó la idea de que es posible directamente explotar una vulnerabilidad al nivel de navegador (aplicación) tal como se hace en otros entornos. Vale destacar que esto es aún más probable en estos sistemas: es difícil mantener actualizadas las aplicaciones en entornos embebidos, por ejemplo, se mostró un smartTV con Flash 10.
Finalmente, se pasó a la demostración, y el foco estuvo puesto en la característica por lo cual los nuevos SmartTV poseen cámara y micrófono. En smartphones explotar esto para "vigilancia" no es funcional, se realizó una prueba de concepto y el 99% de las fotos (que se tomaban cada 1 minuto) eran inservibles: el teléfono estaba en el bolsillo, apuntando al techo, etc. Sin embargo, un televisor generalmente está en una ubicación física que favorece la visualización de información privada "de valor" para el atacante. Aunque por el momento estos ataques estarían más limitados al entorno hogareño, de a poco las empresas van incorporando estos dispositivos.
Para cerrar, el autor hizo una demo en vivo a través de la cual instalaba un rootkit en un SmartTV que se llevó a la sala, y con este se grababa la cámara del dispositivo, que en este caso apuntaba al público, una demostración en vivo que se robó los aplausos del público.
The Outer Limits: Hacking The Samsung SmartTV
La presentación dictada por Aaron Grattafiori y Josh Yavor se enfocó en los SmartTV por, según los autores, 4 motivos principales: estos dispositivos están ampliamente difundidos, están conectados a Internet (por lo general 24x7), permiten instalar aplicaciones (es decir tienen un sistema operativo) y poseen una cámara y pantalla de alta calidad.
Durante la charla, los presentadores explicaron que antes de comenzar la investigación buscaron en línea para saber qué información oficial había en relación a las medidas de seguridad de estos dispositivos y los resultados no fueron muy animadores, poca información hay disponible al respecto. Luego pasaron al estudio en sí que ellos realizaron con un modelo particular de equipo: un SmartTV de Samsung. Fue entonces que detallaron cómo desempaquetaron el firmware del televisor y se encontraron con algunos métodos de ofuscamiento como XOR, entre otros. Esto les permitió conocer la estructura de archivos y carpetas del televisor, lo que consecuentemente les permitió saber dónde se guardaban las aplicaciones, su lenguaje de programación (principalmente Java) y las verificaciones de seguridad que se aplican a las mismas. A medida que fueron realizando pruebas notaron que era necesario ofuscar el código que inyectaban y la forma con la cual forzaban al sistema a creer que se trataba de una aplicación valida.
Logrado esto pudieron realizar una demostración en vivo donde accedían a la página oficial de la Black Hat por medio del navegador del televisor, y luego ejecutaron un script malicioso que cambiaba los servidores DNS utilizados por el mismo. De esta forma, al intentar acceder nuevamente a la página de la BlackHat, se abría en su lugar la página oficial del MI5 (servicio de seguridad Inglés). En la siguiente demostración mostraron (a través de un video) cómo podían acceder a la cámara del televisor y proyectar el video dentro del mismo, donde la víctima, que se encontraba mirando televisión, sale despavorida al verse a sí mismo, situación que despertó la risa de todo el público.
Por último, explicaron cómo era posible atacar a estos dispositivos de manera remota por medio de aplicaciones de redes sociales como Facebook. Los presentadores mostraban como era posible postear un mensaje en el muro de la víctima con un script especialmente armado que permitía la ejecución de código arbitrario dentro del televisor, pudiendo replicarse esto a todos sus contactos, de la misma forma que lo haría un gusano.
Conclusión
Sin lugar a dudas veremos en los próximos años más de estas investigaciones y, paulatinamente, nos encontraremos con ataques in-the-wild a estas plataformas. Como dijo SeungJin Lee en su presentación:
Los SmartTV tienen prácticamente los mismos vectores de ataque que los teléfonos inteligentes
Por lo que es de esperarse que aparezcan más ataques en el futuro. En cuanto a los daños en sí, ambas charlas coincidieron en que la privacidad podría ser foco de ataque aún más que las amenazas de índole económico. El hecho de que los SmartTV hayan empezado a incorporar cámaras y micrófonos puede ser de interés para los atacantes en el futuro.
No obstante, es importante destacar que no hay indicios para creer que estos ataques podrían hacerse masivos en el corto plazo, y que aún los smartphones son un "mercado" mucho más atractivo para los cibercriminales. La semilla ya está plantada, será cuestión de tiempo que madure.
Sebastián Bortnik, Gerente de Educación y Servicios
Joaquín Rodriguez Varela, Coordinador de Laboratorio