Les téléviseurs intelligents TCL sous Android semblent avoir d’énormes failles de sécurité et pourraient même être conçus pour espionner les utilisateurs du monde entier, deux chercheurs en sécurité dire Les problèmes n’affectent pas les ensembles TCL exécutant le logiciel Roku

“Je peux dire de tout mon cœur qu’il y a eu plusieurs moments où moi, et un autre chercheur en sécurité que j’ai rencontré en cours de route, n’avons pas pu croire ce qui se passait”, a écrit un chercheur se faisant appeler “Sick Codes” dans un article de blog plus tôt cette semaine «À plusieurs reprises, je me suis senti comme si vous ne pouviez même pas inventer ça'”

Sick Codes et l’autre chercheur, John Jackson, qui travaille au service de licence de photos Shutterstock, ont découvert qu’ils pouvaient accéder à l’ensemble du système de fichiers d’un téléviseur intelligent TCL via une connexion Wi-Fi en utilisant un port TCP / IP non documenté. Ils ont découvert qu’ils pouvaient également écraser des fichiers sur le téléviseur

Tout cela peut être fait sans entrer de nom d’utilisateur, de mot de passe ou tout autre type d’autorisation. Les failles ont reçu les numéros de catalogue Common Vulnerability and Exposure CVE-2020-27403 et CVE-2020-28055 après que les chercheurs ont notifié l’US Computer Emergency Response Team (US-CERT) à l’Université Carnegie Mellon de Pittsburgh

Les failles ont été corrigées sur le modèle de télévision analysé par Sick Codes et Jackson – plus à ce sujet ci-dessous – mais apparemment pas tous sur les modèles de téléviseurs intelligents TCL

Tom’s Guide a contacté Sick Codes et Jackson via Twitter, et au cours de la conversation qui a suivi, nous avons reçu une URL qui semblait donner un accès complet au système de fichiers d’un téléviseur intelligent TCL en Zambie.

Nous avons pu parcourir les répertoires du téléviseur de cette personne aléatoire via le navigateur Chrome de notre téléphone Android, jusqu’à ce que l’utilisateur du téléviseur éteigne apparemment le téléviseur

(Sick Codes nous a dit que c’était l’une des douzaines de téléviseurs intelligents TCL dans le monde à être directement sur Internet; dans la plupart des cas, vous devez être sur le même réseau Wi-Fi local pour pouvoir naviguer sur le système de fichiers)

“Quand dans l’histoire de votre carrière avez-vous déjà eu besoin de servir l’intégralité du système de fichiers via http?” s’est demandé Sick Codes dans son article de blog

Tom’s Guide a demandé des commentaires à la division nord-américaine de TCL, qui est une société chinoise, et nous mettrons à jour cette histoire lorsque nous recevrons une réponse

La paire a également constaté qu’une application sur le téléviseur TCL, appelée Terminal Manager Remote, avait un fichier de configuration répertoriant les serveurs qui semblaient être prêts à gérer les fichiers, les journaux et les captures d’écran relatifs aux téléviseurs des utilisateurs.

Le billet de blog des chercheurs contenait une capture d’écran de la liste des serveurs, qui était divisée en quatre régions L’un était pour la Chine continentale, un autre pour le reste de la région Asie-Pacifique (y compris Hong Kong et Taiwan), un troisième pour le Moyen-Orient, l’Afrique et l’Europe, et le quatrième pour l’Amérique latine et l’Amérique du Nord.

On ne savait pas exactement si ces serveurs étaient destinés à envoyer des fichiers aux téléviseurs TCL ou à en recevoir des fichiers.

Tom’s Guide a tenté d’accéder à quelques URL et on lui a dit que les requêtes “GET” – les requêtes normales des navigateurs Web pour télécharger des fichiers – n’étaient pas prises en charge Nous essaierons d’envoyer des requêtes “POST” pour télécharger des fichiers après les heures de travail et mettrons à jour cette histoire si nous découvrons quelque chose d’intéressant

Sick Codes nous a également envoyé un lien vers ce qui semblait être un serveur Web largement ouvert contenant des dizaines de mises à jour du firmware TCL Aucune autorisation n’était nécessaire pour afficher les fichiers Nous n’avons pas essayé d’en télécharger, mais Sick Codes a dit que ce serait possible

Sick Codes et Jackson ont déclaré avoir tenté de contacter TCL par courrier électronique, Twitter, téléphone et publication directe sur le site Web de TCL pour les informer des failles à partir d’octobre. 16, mais il a fallu attendre octobre 26 avant qu’ils n’obtiennent un accusé de réception du message

“J’ai appelé TCL et parlé à un représentant de l’assistance”, a écrit Sick Codes dans le billet de blog “Je lui ai dit que nous avions une vulnérabilité sérieuse sur nos mains et elle a déclaré qu’elle n’avait aucune information de contact avec l’équipe de sécurité et qu’elle ne pensait même pas / ne savait pas si TCL avait une équipe de sécurité.”

En octobre 29, les problèmes sur leur téléviseur de test ont été soudainement résolus sans aucune notification, alerte ou demande d’autorisation de l’utilisateur

“C’était un correctif totalement silencieux”, a déclaré Sick Codes à The Security Ledger, qui a d’abord rapporté cette histoire “Ils se sont essentiellement connectés à ma télévision et ont fermé le port”

Pour Sick Codes, c’est tout aussi inquiétant que les failles de sécurité qui ont été corrigées sur certains modèles (mais pas celle sur laquelle Tom’s Guide pourrait parcourir le système de fichiers)

“C’est une porte arrière pleine”, a-t-il dit au registre de sécurité “S’ils le souhaitent, ils peuvent allumer ou éteindre le téléviseur, allumer ou éteindre l’appareil photo et le micro Ils ont un accès complet”

Si vous possédez un téléviseur intelligent TCL, vérifiez d’abord s’il s’agit de l’une des versions exécutant le logiciel Roku Ceux-ci ne semblent pas affectés par ces failles

S’il ne s’agit pas d’un modèle Roku, vous voudrez vous assurer que votre réseau Wi-Fi domestique a un mot de passe très fort et que vous ne donnez pas le mot de passe aux visiteurs. De nombreux routeurs vous permettent de configurer un réseau distinct pour cela

Vous voudrez également accéder au menu administratif de votre routeur pour désactiver l’accès aux appareils de votre réseau depuis Internet Nous avons une liste d’autres conseils de sécurité pour les téléviseurs intelligents

Sachez également que le fabricant du téléviseur peut voir ce que vous regardez Ce n’est pas quelque chose de spécifique à TCL – de nombreux téléviseurs intelligents, décodeurs et DVR gardent un œil sur ce que leurs clients regardent

Tom’s Guide fait partie de Future US Inc, un groupe de médias international et un éditeur numérique de premier plan Visitez notre site corporatif

TCL, Smart TV, sécurité informatique

Actualités – États-Unis – Les téléviseurs intelligents TCL peuvent avoir une «porte dérobée chinoise» – protégez-vous maintenant

Source: https://www.tomsguide.com/news/tcl-smart-tv-security-flaws

En s’appuyant sur ses expertises dans les domaines du digital, des technologies et des process , CSS Engineering vous accompagne dans vos chantiers de transformation les plus ambitieux et vous aide à faire émerger de nouvelles idées, de nouvelles offres, de nouveaux modes de collaboration, de nouvelles manières de produire et de vendre.

CSS Engineering s’implique dans les projets de chaque client comme si c’était les siens. Nous croyons qu’une société de conseil devrait être plus que d’un conseiller. Nous nous mettons à la place de nos clients, pour aligner nos incitations à leurs objectifs, et collaborer pour débloquer le plein potentiel de leur entreprise. Cela établit des relations profondes et agréables.

Nos services:

  1. Création des sites web professionnels
  2. Hébergement web haute performance et illimité
  3. Vente et installation des caméras de vidéo surveillance
  4. Vente et installation des système de sécurité et d’alarme
  5. E-Marketing

Toutes nos réalisations ici https://www.css-engineering.com/en/works/