Sikkerhedsekspert viser hvordan Android TV kan lytte med til samtaler
15 Jun 2016 | Rasmus Larsen |
Ved at installere en Android-app har en sikkerhedsekspert demonstreret, hvordan Android TV kan forvandles til en transskriberingsmaskine, der lytter med til samtaler i stuen.
Mikrofonen kan misbruges
En sikkerhedsekspert hos PenTestPartners købte et Android TV for at eksperimentere og undersøge, hvad der er muligt. Han har fundet, at det er muligt at få Android TV til at lytte med i stuen.
- ”You’ll no doubt have seen the snooping Samsung TV we investigated last year… and the snooping Android mobile app we wrote for the BBC a couple of months back. Since then we’ve been trying to combine the two attacks and get an Android-based TV to snoop on your audio. Today we succeeded in getting our rogue android app to work on a Sony Bravia telly,” skriver PenTestPartners.
Det virker på den måde, at PenTestPartners har udviklet sin egen app, som er blevet installeret på et Sony X80C Android TV (med Lollipop 5.02). App’en kører konstant i baggrunden og optager alle samtaler, som transskriberes til tekst i real-tid ved at gøre brug af Google’s transskriberingsmotor, der også muliggør generelle stemmesøgninger i skærmene. De transskriberede samtaler kan dernæst sendes til en PC et andet sted i verden.
Eftersom der ingen mikrofon er indbygget i Sony X80C, måtte man tilslutte en USB-mikrofon, men det noteres, at dyrere tv-skærme har integrerede mikrofoner i fjernbetjeningen.
Koden kan gemmes i andre apps
For at kunne installere app’en skal “install apps from unknown sources” aktiveres i menuen og app’en skal herefter installeres uden om Google Play-butikken (side loades).
Det pointeres dog, at koden kunne pakkes ind i en officiel app, f.eks. et spil, og blive gjort tilgængelig i Google Play-butikken. Denne fremgangsmåde er før brugt på Android-telefoner til at installere malware.
Android TV-styresystemet bruges også i tv-skærme fra Philips samt i tv-bokse såsom Nvidia Shield, Nexus Player og Razer Forge.
Så er du i risikozonen? Sandsynligvis ikke, men det er en potentiel risiko og det understreger endnu en gang, hvor hullet sikkerheden er i “Smart TV”. PenTestPartners afslutter ved at bemærke; “I guess the most practical use of this is to snoop on people that you know. What an unpleasant thought!”
Google afslørede for nylig Google Home, der er et stemmestyret produkt til stuen. Mikrofonen i produktet er altid tændt, så du kan bede Home om diverse opgaver.
PenTestPartners spillede også en stor rolle i afsløringen af hvordan Samsung’s Smart TVs optog og sendte ukrypterede optagelser fra folks stuer.