Een beveiligingsonderzoeker genaamd SickCodes heeft een beveiligingsprobleem gevonden in Android-televisies van TCL. Hier kwam deze hacker achter nadat hij 'low-end Android-boxes' onderzocht in september.
SickCodes bedacht zich dat de interne hardware die een smart-tv slim maakt niet veel verschilt van een externe mediaspeler met bijvoorbeeld Android. Hij schakelde de hulp van een collega-onderzoeker genaand John Jackson in. Ze kwamen tot de conclusie dat de onderzochte televisies direct uit de fabriek beveiligingsproblemen hadden en dat ze 'bewust onveilig' waren.
Na een simpele zoektocht ontdekte SickCodes dat de enkele televisie 14 verschillende open tcp-poorten bevatte. Een (goed beveiligde) Android-smartphone bevat volgens hem geen enkele open poort. Er bleken geen aanwijzingen te zijn voor waarom de poorten open waren. Na wat extra onderzoek op basis van eerder onderzochte Android-apparaten was de conlusie dat het volledige bestandssysteem van de televisie via het netwerk zichtbaar was. Minimaal één open poort was bovendien niet één die geregeld gebruikt wordt en deze was ook niet geregistreerd bij de Internet Assigned Numbers Authority (IANA). Dat betekent dat het praktisch een onbekende backdoor naar de data op het systeem is. Contact opnemen met TCL en de organisatie die de CVE-codes uitgeeft leverde in eerste instantie niets op, daarom werd contact opgenomen met Jackson.
Het blijkt dat het inderdaad mogelijk was om op afstand code toe te voegen en uit te voeren. Na 13 dagen reageerde de Chinese fabrikant op de hacker door te verklaren dat het probleem is opgelost, in dezelfde e-mail werd gevraagd om nog eens twee weken voor het opstellen van een veiligheidsrapport. De oplossing bleek echter te zorgen voor een tweede probleem. Verschillende, belangrijke mappen in het bestandssysteem bleken nu namelijk aanpasbaar te zijn voor iedereen die de mappen kon vinden. Het eerste probleem heeft inmiddels het kenmerk CVE-2020-27403 gekregen, het tweede probleem heeft de naam CVE-2020-28055 ontvangen.
Het is niet bekend of alle televisies een update hebben gekregen en ook is nog onduidelijk of alle modellen last van het probleem hebben. Vermoedelijk zijn de tv's die de update hebben ontvangen voor het eerste probleem nog kwetsbaar door het tweede gat in de beveiliging.
Bronnen: SickCodes, NIST (1), (2)
