1. 极安网首页
  2. 网络安全新闻

TCL安卓电视系统发现高危漏洞 目前暂未修复

TCL安卓电视系统发现高危漏洞 目前暂未修复-极安网

初步研究

9月底,在对低端Android机顶盒进行研究时,我遇到了这些设备设计方式中的许多严重缺陷。

无需深入研究每个设备的细微差别,所有智能电视产品都基于Android。

电视市场中有四种类型的电视产品:

电视棒
电视盒
智能电视
安卓电视

它们都是基于ARM的单板计算机(SBC)。多数芯片是32位的,有些是64位的,但是它们都像Raspberry Pi的竞争对手一样,通过小型但功能强大的Mali GPU专注于GPU性能。

我调查的某些产品“存在工厂缺陷”,并且故意不安全。

挖掘漏洞

2020-09-20,我在电视棒中发现了一些荒谬的安全漏洞

注意:TCL不会使电视棒容易受到攻击。仅TCL Android电视受到影响。以下漏洞是指我在寻找TCL漏洞之前正在测试的其他产品,在下面的nmap解析之后将进行深入讨论。

我测试的每个记忆棒都至少具有以下主要安全缺陷之一。

①端口22已打开,并允许以root用户身份进行SSH访问:root
②打开端口5555,并允许未经身份验证的android(adb)作为root用户:开箱即用的root用户
③根目录设备,在多个位置具有世界可执行的二进制文件
④运行adb和ssh守护进程的开放WiFi网络

实际上,如果您有一千个这样的设备,则可以利用双WiFi,纯文本WAN路由器凭据以及从电视棒跳到路由器MITM的能力,遍历所有设备。路由器,从更大,功能更强大的路由器中搜索更易受攻击的设备,并真正实现“网上冲浪”。

原创文章,作者: Admin ,转载请注明出处:https://www.secvery.com/3738.html