image

Hackertool toont video's en foto's op aangevallen Apple TV

zaterdag 13 september 2014, 17:46 door Redactie, 4 reacties

Voor de populaire hackertool Metasploit zijn drie nieuwe modules verschenen waarmee het mogelijk is om een Apple TV aan te vallen en vervolgens video's en foto's op het beeld te tonen. Metasploit is een framework voor hackers, onderzoekers en security professionals om systemen en netwerken te testen.

Volgens Tod Beardsley van Rapid7, het beveiligingsbedrijf dat Metasploit aanbiedt, is Apple TV niet alleen een product voor consumenten, maar wordt het ook in veel conferentiezalen gebruikt. Er is zelfs een "Conference Room" weergavemode. "Dit houdt in dat deze apparaten, die goedkoop en overal te vinden zijn, op veel bedrijfsnetwerken zijn aangesloten en bijna zeker zonder formele IT-controle of management", laat Beardsley weten.

Beveiliging

Daarnaast is er nauwelijks enige beveiliging. Standaard hebben Apple TV-apparaten geen wachtwoord. Gebruikers kunnen de "OnScreen" mode kiezen om een viercijferige pincode op te geven. Een code die eenvoudig is te brute forcen. "Zelden vind je een Apple TV-apparaat met een goed wachtwoord", gaat Beardsley verder. Hij merkt op dat de risico's kunnen bestaan uit een grapjas die schokkende afbeeldingen toont tot subtiele aanpassingen, zoals het in real-time aanpassen van financiële resultaten.

Uiteindelijk hopen we dat dit soort onderzoek voor meer bewustzijn over het aanstaande internet-of-things zorgt, en hoe we straks duizenden computers op onze netwerken hebben die geen computer zijn en gewoon smeken om als entree voor aanvallers te fungeren", waarschuwt Beardsley, die stelt dat als Apple en Google al geen gebruiksvriendelijke maar goede beveiliging op hun IoT-apparaten weten te regelen, hoe dit dan straks wel van de nieuwkomers in deze markt kan worden verwacht.

Reacties (4)
13-09-2014, 21:39 door [Account Verwijderd] - Bijgewerkt: 13-09-2014, 23:23
[Verwijderd]
14-09-2014, 20:48 door Anoniem
Door Picasa3: Maar bestaat er dan geen Responsible Disclosure meer? Waarom meteen een exploit op het net gooien zonder dat de fabrikant de mogelijkheid krijgt om dit gat te dichten?

Goed punt. Na de iCloud "breach" verwacht ik dat Apple flink geschrokken is op gebied van security.
14-09-2014, 21:04 door Anoniem
Omdat het Apple is en Apple bashen is in tegenwoordig heb ik gemerkt.
14-09-2014, 22:35 door Anoniem
Door Anoniem: Omdat het Apple is en Apple bashen is in tegenwoordig heb ik gemerkt.

a) Dat valt op deze site nogal mee in vergelijking met andere sites.
Gelukkig is het onderwerp Security zelf al interessant genoeg en zijn security issues vaak ook nog Os soort overstijgend.

b) Hoewel ik eerder wel uitspraken vanuit de rapid7 hoek ben tegen gekomen die een 'lichte' OS X aversie deed vermoeden, denk ik dat ze hier terecht een security punt hebben dat ze ook nog eens met een heel redelijke reden onder de aandacht brengen.

Ultimately, though, we hope that research like this just brings some awareness to the coming Internet-of-Things and how we're apparently about to have tons and tons of these not-computer computers on our networks, just begging to be entry points for evil-doers. If Apple and Google, who are massive players in this IoT space, can't be bothered to engineer in some kind of sensible and user-friendly security-by-design on these things, how can we possibly expect newcomers with the next big IoT fad to fare any better?

Dit lijkt me nou niet bepaald een geval van Apple bashen ; het is redelijk en niet schreeuwerig zoals we dat van vele dagelijkse 'rapporten', ontdekkers of sommige antivirus-makers wel kennen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.