Vulnerabilidad en Philips Smart TV: ¿quién tiene el mando de mi tele?

Las investigaciones sobre la seguridad de los llamados Smart TV avanzan casi tan rápido como sus ventas. Nuevos modelos aparecen cada pocos meses con nuevas y sorprendentes funcionalidades, o al menos eso nos quieren vender. La verdad es que las televisiones actuales se parecen más a un móvil (con Android más concretamente) que a una televisión tradicional.

Por eso no es de extrañar que cada cierto tiempo aparezcan los resultados de las investigaciones realizadas por empresas o individuos demostrando que estos dispositivos aún distan mucho de ser lo suficientemente seguros. En los últimos días hemos visto un nuevo ejemplo de este tipo de inseguridad cuando investigadores de la empresa ReVuln (quienes ya descubrieron una vulnerabilidad similar en televisores Samsung en 2012) publicaron el resultado de sus investigaciones sobre Smart TVs de la gama 2013 de Philips.

philips2013

Según estos investigadores, un atacante podría tomar el control de una Smart TV Philips gracias a una contraseña incluida por defecto que les permitiría un acceso fácil al adaptador Wi-Fi de este dispositivo. Esto permitiría, por ejemplo, desde cambiar de canal y subir o bajar el volumen a cambiar el resultado de una búsqueda en Internet realizada desde la TV (útil, por ejemplo, para realizar ataques de phishing). También se podría acceder a los ficheros almacenados en un dispositivo de almacenamiento USB conectado a la televisión y ver su contenido.

Todos estos ataques han sido demostrados por los investigadores de ReVuln, que han publicado el siguiente vídeo:

Si lo analizamos con detalle, observamos que el problema proviene de la gestión que se realiza de la característica Wi-Fi Miracast conectada a la televisión. Los puntos de acceso que incorporan los modelos 2013 de Smart TVs Philips recibieron una actualización que incorpora una contraseña embebida en el dispositivo Miracast y que no puede ser modificada por los usuarios.

El resultado de este fallo de seguridad es que cualquiera que se encuentre en el alcance de este adaptador Wi-Fi conectado a la televisión puede conectarse fácilmente a ella y manipularla a su antojo, aprovechándose de las interesantes características que incorporan este tipo de televisores.

Por su parte, el proveedor de este dispositivo ha reconocido que este fallo de seguridad afecta a las Smart TV Philips de gama alta del año 2013 y ya se encuentran trabajando en un parche. De momento recomiendan a los usuarios que desactiven la característica Miracast para evitar cualquier ataque que quiera aprovecharse de esta vulnerabilidad.

Desactivar esta característica es tan sencillo como acceder al menú HOME –> navegar hacia la opción de configuración -> elegir Configuración de la red -> elegir Miracast -> ponerla en OFF.

Philips se encuentra trabajando actualmente en una solución permanente para arreglar este problema, pero no se descarta que televisores de otros fabricantes también se vean afectados. Hay que tener en cuenta que Miracast es una marca de Philips para esta tecnología usada en varias marcas de Smart TV.

Como ya hablamos hace unos meses, las Smart TV son un objetivo muy atractivo a medio plazo. Su popularidad va en aumento pero su seguridad, tal y como hemos visto en este y otros ejemplos, deja mucho que desear. Esperamos que investigaciones como la que comentamos hoy sirvan para que los fabricantes se pongan las pilas y consideren la seguridad de sus dispositivos algo tan importante como las interesantes características que incorporan.

Josep Albors

Enlaces relacionados:

Vulnerabilidad en Smart TV de Samsung permite tomar el control de nuestro televisor

Smart TV: El nuevo objetivo de los ciberdelincuentes

2 Comentarios

Comentar

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..