Google je saopštio da je zakrpio tri ranjivosti u verziji svog Chromecast media-streaming hardvera koje su otkrili bezbjednosni istraživači ranije ove godine.
Kada se ove ranjivosti povežu, one bi mogle omogućiti nekome da zlonamjerno instalira prilagođeni operativni sistem i nepotpisan kod na Chromecast uređaju sa Google TV-om. Zakrpe za ove ranjivosti, označene kao CVE-2023-48424, CVE-2023-48425 i CVE-2023-6181, objavljene su 5. decembra.
Najveća zabrinutost je taktika nazvana presretanje lanca snabdijevanja, u kojoj hakeri presreću legitimne softverske nadogradnje ili pakete tokom distribucije i zamjenjuju ih zlonamjernim verzijama, prema Nolenu Džonsonu, konsultantu za hardver i bezbjednost preduzeća u DirectDefenseu, koji je bio dio tima koji je otkrio ove ranjivosti.
Džonson je rekao Recorded Future News-u da je ovo teoretski problem za one koji kupuju uređaje na platformama poput eBay-a i drugih trećih prodavaca.
“Pokazano je da različiti Android TV uređaji koji se prodaju putem ovih kanala mogu biti zaraženi malverom. Da biste se zaštitili od toga, korisnici treba da kupuju od pouzdanih izvora”, rekao je on. Chromecast uređaji, kao i većina hardvera sa Google-ovim brendom, koriste Android OS.
“Korisnici Chromecast-a mogu se zaštititi jednostavnim ažuriranjem putem aplikacije za podešavanje”, rekao je Džonson.
Niz eksploatacija koje je otkrio DirectDefense “može se koristiti za instalaciju malvera/spajvera na uređajima koji se prodaju prosječnim korisnicima za samo 25 dolara”, objasnio je.
Google je potvrdio ove probleme u izjavi za Recorded Future News.
“Nijedan uređaj nije bio pogođen ovim problemom i on je zakrpljen u nedavnom ažuriranju”, rekao je portparol Google-a.
Isplaćen bug bounty
Istraživači su objavili detaljan pregled ranjivosti i pružili video snimke koji ilustruju napad.
Oni su razvili eksploate za ranjivosti početkom 2023. godine i podnijeli izveštaje Google-u u drugom kvartalu 2023. godine. Do 7. juna, Google je priznao problem i nakon toga nagradio istraživače nagradom za pronalazače bagova.
Google je sarađivao sa istraživačima kako bi razvio zakrpe tokom jeseni pre nego što su ih objavili početkom decembra.
Istraživači su naveli da ove ranjivosti postoje na uređajima koji koriste amlogic čipset.
Sa pristupom uređajima, hakeri bi mogli izvesti niz napada ili prikupiti informacije o metama. Daljinski upravljači upareni sa uređajima ponekad su opremljeni ugrađenim mikrofonima koji se mogu daljinski uključiti, rekli su istraživači.
Dodali su da uz kontrolu daljinskog upravljača, napadač “može presretati komunikaciju eksploatacijom Bluetooth povezivanja”. Hakeri takođe mogu uhvatiti prijave za aplikacije pomoću uređaja za snimanje pritisaka na tastere.
Istraživači su napomenuli da ljudi sada imaju opciju da instaliraju prilagođene operativne sisteme na Chromecast uređajima. Zabrinutost, prema njihovim saznanjima, je da korišćeni uređaji mogu dolaziti sa unapred instaliranim malverom ili špijunskim softverom.
“Mnoge TV kutije koje kruže na ovim tržištima su namerno unapred zaražene malverom, kao što je istaknuto u različitim video klipovima koji su nedavno postavljeni na YouTube”, rekli su.
Izvor: The Record