През последните години имаше натиск за подобряване на стандартите за хардуерна сигурност. Администрацията на САЩ планира да въведе система за етикетиране за устройства, които са свързани с интернет. Това е част от усилията за насърчаване на производителите да подобрят сигурността на устройствата си, като например добавяне на механизми за актуализиране за отстраняване на пропуски в сигурността. През 2018 г. Калифорния прие закон, който забранява на свързаните с интернет устройства да използват пароли по подразбиране и лесни за отгатване, които лошите актьори често използват, за да проникнат.
През 2022 г. година Даниел Милишич купува приемник (Set Top Box) AllWinner T95 и открива, че фърмуерът на чипа, коийто е вграден в устройството, е заразен със зловреден софтуер. Милишич установява, че операционната система Android, която е инсталирана в устройството, комуникира със сървъри за управление и контрол и чака инструкции за следващи действия. Разследването, което той публикува в GitHub [1], показва, че неговият модел T95 е готов за свързване към по-голям ботнет от хиляди други заразени със злонамерен софтуер сет топ боксове с Android TV в домове и офиси по целия свят.
Тези базирани на Android телевизионни декодери обикновено са евтини и могат да се персонализират защото пакетират няколко стрийминг услуги в едно устройство, вместо да се купува отделен хардуер за всяка услуга.
Изследователи по сигурността откриват, че моделите се продават с предварително инсталиран зловреден софтуер, способен да стартира координирани кибератаки.
Милишич обяснява, че полезният товар по подразбиране, на практика зловреден софтуер, е кликбот. По същество код, който генерира рекламни пари чрез тайно докосване на реклами във фонов режим. След като засегнатите устройства с Android TV се включат, предварително зареденият злонамерен софтуер незабавно се свързва със сървър за управление (C&C Command and Control Server), получава неговите инструкции къде да намери необходимия злонамерен софтуер и изтегля допълнителни полезни товари към устройството, което извършва измамата с кликване върху реклама.
„Но поради начина, по който е проектиран зловредния софтуер, авторите могат да въведат какъвто и да е полезен товар, който им харесва“, каза Милисич пред TechCrunch. Полезният товар е такъв за злонамерените актьори, тъй като работи за реализиране на техните цели.
Изследователят по сигурността на EFF Бил Бъдингтън независимо потвърди [2] констатациите на Milisic, след като също закупи засегнато устройство от Amazon. Няколко други модели AllWinner и RockChip Android TV също са предварително инсталирани със зловреден софтуер, включително AllWinner T95Max, RockChip X12 Plus и RockChip X88 Pro 10.
Според изследователя редовият потребител няма шанс да премахне зловредния софтуер от устройството. Другата му констатация се отнася до неясния потенциал на ботнета, който може да бъде организиран чрез инфраструктурата зад тези устройства.
[1] Desktopecho. T95-H616-Malware, June 2023. URL https://¬github.com/¬DesktopECHO/¬T95-H616-Malware/¬tree/¬main. [Online; accessed 4. Jun. 2023].
[2] Bill Budington. Android TV Boxes Sold on Amazon Come Pre-Loaded with Malware. Electronic Frontier Foundation, May 2023. URL https://¬www.eff.org/¬deeplinks/¬2023/¬05/¬android-tv-boxes-sold-amazon-come-pre-loaded-malware.