Les téléviseurs intelligents TCL sous Android semblent avoir d’énormes failles de sécurité et pourraient même être conçus pour espionner les utilisateurs du monde entier, deux chercheurs en sécurité dire Les problèmes n’affectent pas les ensembles TCL exécutant le logiciel Roku

Je peux dire de tout mon cœur qu’il y a eu plusieurs moments où moi, et un autre chercheur en sécurité que j’ai rencontré en cours de route, n’avons pas pu croire ce qui se passait”, a écrit un chercheur se faisant appelerSick Codesdans un article de blog plus tôt cette semaine «À plusieurs reprises, je me suis senti comme si vous ne pouviez même pas inventer ça'

Sick Codes et l’autre chercheur, John Jackson, qui travaille au service de licence de photos Shutterstock, ont découvert qu’ils pouvaient accéder à l’ensemble du système de fichiers d’un téléviseur intelligent TCL via une connexion Wi-Fi en utilisant un port TCP / IP non documenté. Ils ont découvert qu’ils pouvaient également écraser des fichiers sur le téléviseur

Tout cela peut être fait sans entrer de nom d’utilisateur, de mot de passe ou tout autre type d’autorisation. Les failles ont reçu les numéros de catalogue Common Vulnerability and Exposure CVE-2020-27403 et CVE-2020-28055 après que les chercheurs ont notifié l’US Computer Emergency Response Team (US-CERT) à l’Université Carnegie Mellon de Pittsburgh

Les failles ont été corrigées sur le modèle de télévision analysé par Sick Codes et Jacksonplus à ce sujet ci-dessousmais apparemment pas tous sur les modèles de téléviseurs intelligents TCL

Tom’s Guide a contacté Sick Codes et Jackson via Twitter, et au cours de la conversation qui a suivi, nous avons reçu une URL qui semblait donner un accès complet au système de fichiers d’un téléviseur intelligent TCL en Zambie.

Nous avons pu parcourir les répertoires du téléviseur de cette personne aléatoire via le navigateur Chrome de notre téléphone Android, jusqu’à ce que l’utilisateur du téléviseur éteigne apparemment le téléviseur

(Sick Codes nous a dit que c’était l’une des douzaines de téléviseurs intelligents TCL dans le monde à être directement sur Internet; dans la plupart des cas, vous devez être sur le même réseau Wi-Fi local pour pouvoir naviguer sur le système de fichiers)

Quand dans l’histoire de votre carrière avez-vous déjà eu besoin de servir l’intégralité du système de fichiers via http?” s’est demandé Sick Codes dans son article de blog

Tom’s Guide a demandé des commentaires à la division nord-américaine de TCL, qui est une société chinoise, et nous mettrons à jour cette histoire lorsque nous recevrons une réponse

La paire a également constaté qu’une application sur le téléviseur TCL, appelée Terminal Manager Remote, avait un fichier de configuration répertoriant les serveurs qui semblaient être prêts à gérer les fichiers, les journaux et les captures d’écran relatifs aux téléviseurs des utilisateurs.

Le billet de blog des chercheurs contenait une capture d’écran de la liste des serveurs, qui était divisée en quatre régions L’un était pour la Chine continentale, un autre pour le reste de la région Asie-Pacifique (y compris Hong Kong et Taiwan), un troisième pour le Moyen-Orient, l’Afrique et l’Europe, et le quatrième pour l’Amérique latine et l’Amérique du Nord.

On ne savait pas exactement si ces serveurs étaient destinés à envoyer des fichiers aux téléviseurs TCL ou à en recevoir des fichiers.

Tom’s Guide a tenté d’accéder à quelques URL et on lui a dit que les requêtes “GET” – les requêtes normales des navigateurs Web pour télécharger des fichiersn’étaient pas prises en charge Nous essaierons d’envoyer des requêtes “POST” pour télécharger des fichiers après les heures de travail et mettrons à jour cette histoire si nous découvrons quelque chose d’intéressant

Sick Codes nous a également envoyé un lien vers ce qui semblait être un serveur Web largement ouvert contenant des dizaines de mises à jour du firmware TCL Aucune autorisation n’était nécessaire pour afficher les fichiers Nous n’avons pas essayé d’en télécharger, mais Sick Codes a dit que ce serait possible

Sick Codes et Jackson ont déclaré avoir tenté de contacter TCL par courrier électronique, Twitter, téléphone et publication directe sur le site Web de TCL pour les informer des failles à partir d’octobre. 16, mais il a fallu attendre octobre 26 avant qu’ils n’obtiennent un accusé de réception du message

J’ai appelé TCL et parlé à un représentant de l’assistance”, a écrit Sick Codes dans le billet de blogJe lui ai dit que nous avions une vulnérabilité sérieuse sur nos mains et elle a déclaré qu’elle n’avait aucune information de contact avec l’équipe de sécurité et qu’elle ne pensait même pas / ne savait pas si TCL avait une équipe de sécurité.

In October 29, les problèmes sur leur téléviseur de test ont été soudainement résolus sans aucune notification, alerte ou demande d’autorisation de l’utilisateur

C’était un correctif totalement silencieux”, a déclaré Sick Codes à The Security Ledger, qui a d’abord rapporté cette histoireIls se sont essentiellement connectés à ma télévision et ont fermé le port

Pour Sick Codes, c’est tout aussi inquiétant que les failles de sécurité qui ont été corrigées sur certains modèles (mais pas celle sur laquelle Tom’s Guide pourrait parcourir le système de fichiers)

C’est une porte arrière pleine”, a-t-il dit au registre de sécuritéS’ils le souhaitent, ils peuvent allumer ou éteindre le téléviseur, allumer ou éteindre l’appareil photo et le micro Ils ont un accès complet

Si vous possédez un téléviseur intelligent TCL, vérifiez d’abord s’il s’agit de l’une des versions exécutant le logiciel Roku Ceux-ci ne semblent pas affectés par ces failles

S’il ne s’agit pas d’un modèle Roku, vous voudrez vous assurer que votre réseau Wi-Fi domestique a un mot de passe très fort et que vous ne donnez pas le mot de passe aux visiteurs. De nombreux routeurs vous permettent de configurer un réseau distinct pour cela

Vous voudrez également accéder au menu administratif de votre routeur pour désactiver l’accès aux appareils de votre réseau depuis Internet Nous avons une liste d’autres conseils de sécurité pour les téléviseurs intelligents

Sachez également que le fabricant du téléviseur peut voir ce que vous regardez Ce n’est pas quelque chose de spécifique à TCLde nombreux téléviseurs intelligents, décodeurs et DVR gardent un œil sur ce que leurs clients regardent

Tom’s Guide fait partie de Future US Inc, a leading international media group and digital publisher Visit our corporate site

TCL, Smart TV, IT security

News – United States – TCL smart TVs may have a «chinese backdoor» – protégez-vous maintenant

Source: https://www.tomsguide.com/news/tcl-smart-tv-security-flaws

Building on its expertise in the areas of digital, technologies and processes , CSS Engineering you in your most ambitious transformation projects and helps you bring out new ideas, new offers, new modes of collaboration, new ways of producing and selling.

CSS Engineering is involved in projects each customer as if it were his own. We believe a consulting company should be more than an advisor. We put ourselves in the place of our customers, to align we incentives to their goals, and collaborate to unlock the full potential their business. This establishes deep relationships and enjoyable.

Our services:

  1. Create professional websites
  2. Hosting high performance and unlimited
  3. Sale and video surveillance cameras installation
  4. Sale and Installation of security system and alarm
  5. E-Marketing

All our achievements here https://www.css-engineering.com/en/works/