JAKARTA (IndoTelko) - Semakin banyak Smart TV terhubung ke Internet daripada sebelumnya, dengan perkiraan 760 juta dari sekarang terhubung secara global. Karena ancaman baru semakin menargetkan perangkat Internet of Things (IoT), seperti Smart TV, yang mencakup konektivitas selalu aktif dan GPU berkinerja tinggi yang dapat dibajak untuk tujuan jahat, FortiGuard Labs mengambil kesempatan untuk melihat status keamanan saat ini dari perangkat ini.
Peneliti keamanan telah meningkatkan kekhawatiran tentang masalah kerentanan yang ditemukan di Smart TV. Untuk beberapa waktu kabar baiknya adalah bahwa sebagian besar vendor TV mendengarkan kekhawatiran ini dan telah mengambil tindakan untuk memperbaikinya (terutama bila dibandingkan dengan perangkat IoT acak).
Sementara postur keamanan dari jenis perangkat ini pasti semakin baik, kami di FortiGuard Labs memutuskan untuk meluangkan waktu untuk melihat beberapa merek populer, dan sebagai hasilnya, kami bekerja sama dengan vendor untuk memperbaiki beberapa masalah yang tersisa, seperti contoh di bawah ini.
Beberapa minggu yang lalu, Sony merilis sebuah penasehat untuk beberapa kerentanan untuk perangkat Bravia Smart TV mereka yang telah ditemukan dan dilaporkan secara langsung ke tim PSIRT Sony oleh tim Fortinet FortiGuard Labs.
Kerentanan ini secara khusus berada di salah satu aplikasi milik Sony yang disebut Photo Sharing Plus. Karena mereka dapat dieksploitasi dari jarak jauh tanpa otentikasi oleh penyerang yang terhubung ke Jaringan lokal yang sama, pelanggan harus meningkatkan TV mereka sesegera mungkin.
Berikut ini adalah beberapa detail penting dari kerentanan yang ditemukan:
Stack Buffer Overflow - CVE-2018-16595 (tingkat keparahan tinggi):
Ini adalah kerentanan korupsi memori yang dihasilkan dari pengecekan ukuran input pengguna yang tidak memadai. Dengan permintaan HTTP POST yang cukup panjang dikirim ke URL yang sesuai, aplikasi akan macet.
Fortinet sebelumnya merilis tanda tangan IPS Sony.SmartTV.Stack.Buffer.Overflow untuk kerentanan khusus ini untuk secara proaktif melindungi pelanggan kami.
Directory Traversal - CVE-2018-16594 (tingkat keparahan tinggi):
Aplikasi menangani nama file dengan tidak benar ketika menerima file masukan pengguna melalui unggahan URL. Anttacker dapat mengunggah file arbitrary dengan nama file yang dibuat (misalnya: ../../) yang kemudian dapat melintasi seluruh sistem file.
Fortinet sebelumnya merilis tanda tangan IPS Sony.SmartTV.Directory.Traversal untuk kerentanan khusus ini untuk secara proaktif melindungi pelanggan kami.
Injeksi Perintah - CVE-2018-16593 (keparahan kritis):
Aplikasi ini menangani nama file secara tidak benar ketika pengguna mengunggah file media. Seorang penyerang dapat menyalahgunakan kesalahan nama file seperti itu untuk menjalankan perintah sewenang-wenang pada sistem, yang dapat mengakibatkan eksekusi kode jauh lengkap dengan hak akses root.
Fortinet sebelumnya merilis tanda tangan IPS Sony.SmartTV.Remote.Code.Execution untuk kerentanan khusus ini untuk secara proaktif melindungi pelanggan kami.
Fortinet FortiGuard Labs bertanggung jawab berkoordinasi dengan Sony dalam mengungkap semua masalah yang ditemukan ini, dan menunggu untuk melepaskan penasehat sampai setelah Sony menerbitkan perbaikan yang sesuai.
Salah satu pengamatan adalah kenyataan bahwa sementara postur keamanan Smart TV semakin baik, masih ada tantangan privasi.
Tidak jarang perjanjian pengguna diperbarui secara berkala dan bahkan mendengar kasus-kasus yang melaporkan data dikumpulkan tanpa sepengetahuan atau persetujuan konsumen.
Untuk mengatasi masalah ini, dua senator AS telah meminta Federal Trade Commission (FTC) untuk menyelidiki pembuat TV pintar di tengah kekhawatiran dan bukti bahwa perusahaan mungkin menggunakan perangkat untuk mengumpulkan data dan melacak pengguna tanpa sepengetahuan mereka.
Jika Anda berencana membeli Smart TV baru, atau sudah menjadi pemilik salah satunya, disarankan Anda memeriksa kembali pengaturan privasinya terkait pengumpulan data. Paling tidak, Anda harus menyadari data pribadi apa yang dibagikan TV Anda, dan dengan siapa dibagikan.(wn)