skip to main | skip to sidebar
17 commenti

Sì, le smart TV sono infettabili. E sbloccarle non è facile

Il giorno di Natale su Twitter è comparsa una segnalazione molto insolita: la fotografia di una smart TV della LG infettata e brickata (bloccata) da un ransomware come quelli descritti da MELANI. Lo schermo mostrava un finto avviso dell’FBI che richiedeva un riscatto per sbloccare il dispositivo. Spegnendo e riaccendendo il televisore, si ricaricava il ransomware.

Si sapeva già che esisteva il rischio teorico d’infezione anche per le smart TV, visto che sono in sostanza dei computer carrozzati a forma di televisore, ma questa è stata una delle prime dimostrazioni concrete del problema.



La segnalazione proveniva dal Kansas, specificamente da Darren Cauthon, un informatico, e riguardava la smart TV di un familiare. La cosa più irritante, secondo Cauthon, era che il televisore non era ripristinabile perché la LG non voleva rivelare la procedura apposita, assente dal manuale, e chiedeva circa 340 dollari per la riparazione (non a domicilio, ma presso un centro assistenza LG): praticamente il costo di un televisore nuovo.

Ho contattato Cauthon, che mi ha spiegato che si tratta di una smart TV LG 50GA6400, un modello che usa Android come sistema operativo e che risale al 2014. Il televisore si è probabilmente infettato, ha detto Cauthon, usandola per scaricare un’app per guardare film. A metà di un film la smart TV si è bloccata. Non è chiaro se l’app sia stata scaricata da Google Play o da altre fonti.

L’immagine della smart TV bloccata è diventata virale in poco tempo, con mezzo milione di visualizzazioni, inducendo finalmente LG a darsi da fare e fornire a Darren Cauthon le semplici istruzioni di reset del televisore senza farsi pagare. L’informatico ha dimostrato il ripristino in un video.


Le smart TV più recenti non usano Android ma WebOS, per cui è difficile che questo genere d’infezione possa avvenire su dispositivi nuovi, anche se Trend Micro segnala che gli attacchi di ransomware alle smart TV capitano regolarmente; ma fa impressione che un televisore di un paio d’anni fa sia così vulnerabile e obsolescente e che il produttore chieda 300 dollari per premere letteramente due tasti per sbloccare la TV.

Come regola generale, alla luce di questo episodio, è consigliabile collegare a Internet le smart TV solo se strettamente indispensabile e solo per navigare in siti attendibili, senza visitare siti poco raccomandabili e soprattutto senza installare app di origine sconosciuta.


Fonti aggiuntive: BleepingComputer,
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: è scomodo, ma è necessario per mantenere la qualità dei commenti e tenere a bada scocciatori, spammer, troll e stupidi.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (17)
A questo punto mi aspetto anche un ransomware per le auto ( visto cha stanno diventando telefonini a 4 ruote)
È un po' fumosa la parte in cui il tizio avrebbe scaricato una app per vedere un film...Quale app, da quale fonte? Per vedere un film scaricato da internet? Assurdo comunque il comportamento di LG, che si è mossa solo dopo che la cosa si è sufficientemente diffusa.
Nucleo,

è fumosa perché Cauthon non ha la certezza di quale app sia e quindi non vuole lanciare accuse specifiche col rischio di coinvolgere sviluppatori che non c'entrano.
ma esattamente perché LG non rilascia il modo di fare il reset? Non credo sia per farci 4 soldi, per un'azienda del genere non ne vale la pena. Forse perché il sistema può essere usato per fare a sua volta qualcosa di illecito?
@pgc
Non per fare soldi? Quanti soldi vengono generati per ogni possibile reset? 100 persone (che son poche) fanno già 34.000 dollari.
A mio parere, la TV più smart è quella stupida collegata ad un device Android, che costa pochi euro e può essere buttato/aggiornato con poca spesa. L'unico problema, per me, è che, volendo calibrare il colore, i modelli base non hanno sufficienti regolazioni.
volume down + power è la scorciatoia standard per tutti i telefoni android per entrare nel menù di sistema...
strano che LG non voglia dare questa info.
Gli smart TV sono vulnerabili come qualsiasi PC connesso ad Internet, con la differenza che sui PC normalmente hai un firewall o un antivirus. Il fatto che usino spesso Android li espone agli stessi rischi degli smartphone, ma anche quelli con sistemi diversi (tipo il WebOs) sono tutt'altro che sicuri, specie usandoci sopra un browser (se poi installi app per vie traverse stai cercando rogne). Occhio quindi ai vari siti che propongono streaming gratuiti, acquisti super scontati ed altri trappoloni analoghi. Il fatto che non vada particolarmente di moda infettare gli smart TV non ci garantisce certo che sia impossibile farlo.
Gli stessi ragionamenti vanno fatti per le automobili "connesse": solo recentemente le Case hanno cominciato a preoccuparsi seriamente del problema sicurezza. Magari la probabilità è bassa, ma l'impatto è alto (un conto è rendere inservibile un televisore da 1000 euro, un conto un'automobile da 25.000, magari durante un sorpasso :-( )
@ Anonimous, in effetti i tasti sono Settings + Canale Giù, a tele non accesa.
In ogni caso era intuibile che il reset fosse una coppia di tasti fisici, proprio come i telefoni. Io qualche prova l'avrei fatta anche senza LG.
@lufo: per una compagnia come LG anche 1 milione di incasso (non di profitti, che è *diverso*) sono una goccia del mare, ti assicuro.
La TV più smart è quella stupida che colleghi tramite porta HDMI al tuo HTPC (meglio se dotata di sistema operativo open source ed eventualmente aggiornabile/formattabile senza bisogno di impazzire).

Quella più sicura, come già intuibile, è quella che non si collega ad internet.
Se non ho frainteso, qui il problema era l'impossibilità di raggiungere la recovery per fare il reset. E LG poteva benissimo indicarlonel manuale, anche se non è il tipo di operazione adatta ad un utente a totale digiuno di modding in os Android. Ad ogni modo, ricordo, se può essere utile, che anche in caso di brick, rimangono deboli e complicate possibilità di recupero, flashando tramite fastboot. Almeno con la mia modesta esperienza su dispositivi come Motorola moto g e nexus.
[by Faber vecchio]

lufo88
100 persone (che son poche) fanno già 34.000 dollari.

Per questa LG?
Erano anni che non sentuvo parlare più di WebOS perché non ho TV LG. Pare che solo i TV LG abbiano WebOS, gli altri hanno Android o altri sistemi proprietari come Tizen per i Samsung.


quoto RobertoB e Emanuel_e anche perché con i sistemi proprietari non sei neanche padrone delle app installate che possono essere rimosse in ogni momento da remoto.
Se utilizzo un pennino Android invece mi garantisco anche che negli anni la mia TV non divenga obsdoleta: basta cambiare pennino.

rico
le combinazioni di tasti in un telecomando TV sono parecchie!
Avevo un Sony Trinitron a tubo catodico. Per una volta volevo una tv supermegaultraHD ma senza smart. La volevo bella ma stupida, insomma una dummy tv. E niente,impossibile avere scelta tra le non smart,cosi alla fine mi sono arresa. Potrei stare qui a decantare le bellezze dello share screen dello smartphone o a maledire l'intrusione nel mio pc tramite router (si lo so che sono visibili solo le cartelle che io stessa ho messo visibili,pero' é stato uno shock lo stesso),ma non lo faro', limitandomi a chiedermi come mai un reset della tv dovrebbe essere a pagamento facendomelo sentire complicato quando il ransomware su tv non mi provoca la perdita di files personali. Voglio dire: il ransomware attacca la mia tv (che non mi viene fornita di adeguate protezioni),io chiedo il reset gratis (non si potrebbe avere da remoto?),la tv si resetta,io non ho perso niente e quindi non cambio marca di televisore perche non perdo la fiducia,tutti vincono tranne quello del ransomware che smette di spargere ransomware perche' nessuno lo paga. Il ransomware per tv é eradicato e tutti guardano netflix felici.

Quante stupidaggini ho detto? :)
@Scatola Grande, basterebbe un gatto sul telecomando per far partire il reset, accidentalmente. Intendo i tasti fisici sul televisore, che non sono molti.
@lufo fabervecchio pgc: il fatto che LG fatturi miliardi non vuol dire affatto che non si perdano via per una goccia nel mare, anzi, probabilmente fatturano tutti quei soldi proprio perchè non trascurano mai nessun possibile modo di fare profitto, e questo è uno.
E' moralmente discutibile, perchè chiedere 300 e passa dollari per un intervento che al massimo richiede cinque minuti di lavoro, tant'è che alla fine il tipo se lo è fatto da solo, io avrei vergogna, ma se uno ha il pelo sullo stomaco per farlo è perfettamente lecito, è una forma astuta per creare guadagni ulteriori, e qua il ricarico sembra essere più alto che quello sul televisore stesso. Finchè dura, perchè non farlo? Chissà quanti hanno pagato e pagheranno per interventi non realmente necessari, di questo se ne ha notizia solo perchè uno è casualmente riuscito a far diventare virale una foto.
Se fosse per me, renderei obbligatoria per legge la possibilità per ogni dispositivo elettronico di poter essere resettato esattamente come al momento della prima accensione, e non mi si venga a dire che è impossibile, complicato o costoso, non lo fa nessuno perchè a nessuno conviene, converrebbe solo a noi utenti.