Noll
(Bild: CNET/CBS Interactive)
Hem undertecknat AT&T: s DirecTV service kan vara misstag kör hårdvara som kan vara lätt att hacka, enligt säkerhetsforskare.
Ett enkelt utnyttjas säkerhetsbrist hittades i den trådlösa video bridge som följer med DirecTV, som gör att bärbara datorer, surfplattor och telefoner kontakt med den stora Anden digital video recorder. Eftersom den trådlösa video bridge, som tillverkas av Linksys, inte skyddas av ett login-sidan, alla som har åtkomst till den enheten skulle kunna få tillgång till känslig information om enheten.
Trend Micro ‘ s Ricky Lawshae, som upptäckte felet, sade enheten var spyr ut diagnostiska uppgifter om bron, inklusive information om anslutna kunder, processer som körs, och Wi-Fi Protected Setup lösenord.
Lawshae sade i en uppskrivning av felet ses av ZDNet före publicering att enheten kan ta emot kommandon som “root” användaren, på ett effektivt sätt som ger honom den högsta nivån av tillgång på enheten.
Med root-access, angriparen kan stjäla data eller låsa upp enheter. Lawshae sade att en av de största riskerna för hemanvändare är från botnät där hackarna bryta sig in i internet-anslutna enheter för att starta distribuerad denial-of-service-attacker, knackar webbplatser och tjänster offline.
“Det bokstavligen tog 30 sekunder för att titta på den här enheten för att hitta och kontrollera en oautentiserad root kommandot injiceringssårbarhet,” sade Lawshae. “Leverantörer inblandade här bör ha haft någon form av säker utveckling för att förhindra buggar från sjöfarten.”
DirecTV, som ägs av AT&T, sade tidigare denna månad som det har mer än en miljon kunder.
Han sade att Trend Micros ZDI privat Initiativ avslöjat sårbarhet för Linksys i juni, men enheten tekokare hade “upphört att vara lyhörd.”
“Vi har gett firmware rättar till [Anmärkning] och de arbetar för att påskynda programuppdateringar till den berörda utrustningen,” sade en Linksys talesperson.
Vi frågade AT&T, som äger DirecTV, när företaget kommer att ge en programvara fixa, men en talesman svarade inte vid tidpunkten för publicering. (Om att ändras, vi kommer att uppdatera.)
Under tiden, Lawshae sa användare kan skydda sig genom att begränsa de enheter som samverkar med de drabbade trådlös video-bron.
Kontakta mig ordentligt
Zack Whittaker kan nås säkert på Signal och WhatsApp på 646-755-8849, och hans PGP fingeravtryck för e-post är: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
Läs Mer
ZDNET UTREDNINGAR
NSA: s Ragtime-programmet mål Amerikaner, läckt ut filer visa
Läckt TSA dokument avslöjar flygplatsen i New York våg av säkerhet upphör
AMERIKANSKA regeringen drivit tech företag att lämna över källkoden
Vid den AMERIKANSKA gränsen: Diskriminerade, fängslade, sökte, förhördes
Miljontals Verizon kundregister exponeras i säkerhet förfaller
Möta den mörka tech mäklare att leverera dina data till NSA
Inne i den globala terror bevakningslista som i hemlighet skuggor miljoner
FCC: s ordförande röstade för att sälja din webbhistorik — så vi bad att få se hans
198 miljoner Amerikaner drabbas av “största någonsin” väljare poster läcka
Storbritannien har gått den “mest extrema övervakning lag någonsin gått i en demokrati”
Microsoft säger “inga kända ransomware” som körs på Windows-10 S — så vi försökte hacka den
Läckt dokument avslöjar BRITTISKA planer för en bredare övervakning av internet
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0