Crediti immagine: Techcrunch
AllWinner e RockChip potrebbero non essere nomi familiari, ma le due società con sede in Cina alimentano molti dei popolari dispositivi Android TV venduti su Amazon.
I ricevitori TV Android sono generalmente economici e altamente personalizzabili, raggruppando diversi servizi di streaming in un unico dispositivo, piuttosto che acquistare dispositivi separati. Le loro inserzioni su Amazon presentano quattro stelle su cinque e hanno raccolto collettivamente migliaia di recensioni encomiabili.
Ma i ricercatori di sicurezza affermano che i modelli sono venduti precaricati con malware in grado di lanciare attacchi informatici coordinati.
L’anno scorso, Daniel Milisic ha acquistato un set-top box AllWinner T95 e ha scoperto che il firmware del chip era stato infettato da malware. Milicico è stato trovato Che il set-top box Android stava comunicando con i server di comando e controllo e attendeva istruzioni su cosa fare dopo. il suo continuo raggiungimento Pubblicato su githubHa scoperto che il suo modello T95 era immediatamente connesso a una botnet più grande di migliaia di altri box TV Android infetti da malware nelle case e negli uffici di tutto il mondo.
Milicic ha affermato che il payload predefinito del malware è un clickbot, che è essenzialmente un codice che genera denaro pubblicitario facendo clic di nascosto sugli annunci in background. Dopo che i box Android TV interessati sono stati accesi, il malware precaricato contatta immediatamente un server di comando e controllo, riceve le istruzioni su dove trovare il malware di cui ha bisogno e invia ulteriori payload al dispositivo che esegue la truffa del clic sugli annunci.
“Ma a causa del modo in cui il malware è progettato, gli autori possono inviare qualsiasi payload che desiderano”, ha detto Milicic a TechCrunch.
Il ricercatore di sicurezza dell’EFF Bill Boddington confermato indipendentemente I risultati di Milisic dopo aver acquistato un dispositivo interessato da Amazon. Diversi modelli di Android TV AllWinner e RockChip sono precaricati con malware, tra cui AllWinner T95Max, RockChip X12 Plus e RockChip X88 Pro 10.
![](data:image/svg+xml;charset=utf-8,<svg height="597" width="1024" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
Screenshot dell’AllWinner T95 elencato su Amazon. Crediti immagine: TechCrunch (schermata)
Le botnet in genere sono costituite da centinaia, se non migliaia o milioni, di dispositivi compromessi in tutto il mondo. Gli operatori dietro la botnet possono utilizzare questa vasta rete dannosa per estrarre criptovaluta su un dispositivo interessato, rubare dati (se presenti) dal dispositivo o dalla sua rete connessa o sfruttare la larghezza di banda Internet collettiva di questi dispositivi per colpire altri siti Web e server Internet con informazioni non autorizzate traffico indesiderato, noto come attacco denial-of-service distribuito, che li porta a non essere in linea.
Milisic ha chiesto alla società Internet che ospitava i server di comando e controllo che istruiva la botnet più ampia di portare quei server offline, e i server che ospitavano il malware del clic sugli annunci sono scomparsi poco dopo. Tuttavia, ha avvertito che la botnet potrebbe tornare in qualsiasi momento con una nuova infrastruttura.
Non è chiaro quanto siano grandi i robot. “È difficile quantificare le dimensioni di questa rete”, ha detto Boddington a TechCrunch. “Quello che sappiamo è che ovunque guardiamo, ci sono diversi tipi di malware Android Trojan per scaricare malware di fase successiva dallo stesso pool di indirizzi IP, quelli che sono stati coinvolti in attacchi alla catena di approvvigionamento in passato. È un impressionante e processo preoccupante.” .
Milisic e Budington notano che non esiste un modo semplice per rimuovere il malware per l’utente medio. Eliminare completamente la scatola potrebbe essere l’opzione migliore per gli utenti interessati.
“Penso che l’unico modo per mitigare questo problema sia mantenere i rivenditori a standard più elevati”, ha detto Milicic a TechCrunch. Riferendosi a venditori online come Amazon, “Non sono autorizzati a vendere giocattoli per bambini fatti di lame di rasoio rotanti, quindi perché è giusto consentire a piccoli venditori sconosciuti di vendere computer che si comportano in modo dannoso all’insaputa e all’autorizzazione dei proprietari?”
Quando è stato raggiunto da TechCrunch, il portavoce di Amazon Adam Montgomery ha rifiutato di dire se Amazon esamina la sicurezza dei dispositivi che vende o se prevede di rimuovere dalla vendita i dispositivi che contengono malware.
AllWinner e RockChip non hanno risposto alle richieste di commento.
Negli ultimi anni c’è stata una spinta per migliorare gli standard di sicurezza dell’hardware. L’amministrazione Biden ha affermato che quest’anno prevede di implementare un sistema di classificazione per i dispositivi connessi a Internet come parte degli sforzi per incoraggiare i produttori di dispositivi a migliorare la sicurezza dei propri dispositivi, come l’aggiunta di meccanismi di aggiornamento per correggere i difetti di sicurezza. Nel 2018, lo stato della California ha approvato una legge che vieta ai dispositivi connessi a Internet di utilizzare password predefinite e facili da indovinare, che i malintenzionati utilizzano spesso per hackerare i dispositivi e intrappolarli in una botnet.
Al momento in cui scriviamo, i modelli AllWinner e RockChip interessati sono ancora disponibili per la vendita su Amazon.
“Pensatore. Fanatico professionista di Twitter. Introverso certificato. Piantagrane. Esperto di zombi impenitente.”
