Ciberdelincuentes podrían obtener control de los televisores inteligentes de Philips y alterar la programación del aparato- e incluso hasta cambiar los canales en vivo- a través del adaptador Wi-Fi, ya que cuenta con una contraseña fija y no modificable por los usuarios. Además de cambiar los canales o la imagen en pantalla a su elección (algo útil para ataques de phishing, por ejemplo), los atacantes también podrían acceder al contenido de los dispositivos USB que estén conectados al televisor.
Investigadores de ReVuln demostraron este ataque en un video, donde además se expuso cómo se podría acceder remotamente a datos sensibles, como las cookies de los navegadores de páginas visitadas en el televisor.
La vulnerabilidad, específicamente del nuevo firmware de Philips para sus Smart TVs 2013, incluye una contraseña codificada para el punto de acceso que no puede ser modificada por el usuario.
En este sentido, los investigadores de ReVuln destacaron: “El firmware que fue recientemente lanzado por Philips para los modelos 2013 de sus televisores inteligentes (6/7/8/9xxx) vienen con la funcionalidad Wi-Fi Miracast activada por defecto con una contraseña prefijada y sin PIN o pedido de permiso para nuevas conexiones Wi-Fi. A raíz de esto, cualquiera que esté dentro del rango de la red del televisor podría conectarse al aparato y abusar de todas las funcionalidades y características que ofrece”.
TP Vision, provedor de Philips comentó al respecto: “Reconocemos esta vulnerabilidad, como también lo hizo ReVuln, vinculada a Miracast. Nuestros expertos están investigando acerca de este asunto y trabajando para corregirlo. Mientras tanto, les recomendamos a todas aquellas personas que hayan comprado estos televisores que desactiven la función Miracast para evitar cualquier tipo de inconveniente de seguridad”.
La compañía se encuentra trabajando en más que una corrección permanente para esta vulnerabilidad, pero puede que ésta afecte a equipos de otros proveedores. La función screen mirroring utilizada para obtener acceso está certificada por la alianza Wi-Fi.