جعبه‌های معروف Android TV که در آمازون فروخته می‌شوند، با نرم‌افزارهای مخرب همراه هستند

ممکن است AllWinner و RockChip نام‌های شناخته‌شده‌ای نباشند، اما این دو شرکت مستقر در چین، چندین جعبه تلویزیون اندرویدی بسیار محبوب را که در آمازون فروخته می‌شوند، تامین می‌کنند.

این ست‌تاپ باکس‌های تلویزیونی مجهز به اندروید معمولاً ارزان هستند و بسیار قابل تنظیم هستند و به جای خرید سخت‌افزار جداگانه، چندین سرویس پخش را در یک دستگاه جمع می‌کنند. لیست های آنها در آمازون دارای رتبه بندی چهار از پنج ستاره است و در مجموع هزاران بررسی ستودنی را به خود اختصاص داده است.

اما محققان امنیتی می‌گویند این مدل‌ها با بدافزار از پیش بارگذاری شده به فروش می‌رسند که قادر به انجام حملات سایبری هماهنگ هستند.

سال گذشته، دانیل میلیسیچ یک ستاپ باکس AllWinner T95 خریداری کرد و متوجه شد که سیستم عامل تراشه به بدافزار آلوده شده است. Milisic متوجه شد که ست تاپ باکس مجهز به اندروید با سرورهای فرمان و کنترل ارتباط برقرار می کند و منتظر دستورالعمل هایی است که چه کاری باید انجام دهد. تحقیقات در حال انجام او که در GitHub منتشر کرد، نشان داد که مدل T95 او خارج از جعبه است که به یک بات نت بزرگتر از هزاران جعبه تلویزیون Android آلوده به بدافزار دیگر در خانه ها و دفاتر در سراسر جهان متصل می شود.

Milisic گفت که بار پیش‌فرض این بدافزار یک ربات کلیکی است، که اساساً کدی است که با ضربه زدن مخفیانه روی تبلیغات در پس‌زمینه، پول تبلیغات تولید می‌کند. پس از روشن شدن جعبه‌های Android TV آسیب‌دیده، بدافزار از پیش بارگذاری‌شده بلافاصله با یک سرور فرمان و کنترل تماس می‌گیرد، دستورالعمل‌های آن را در مورد مکان یافتن بدافزار مورد نیاز خود دریافت می‌کند و بارهای اضافی را به دستگاهی می‌کشد که کلاهبرداری با کلیک روی آگهی را انجام می‌دهد.

Milisic به TechCrunch گفت: «اما به دلیل نحوه طراحی بدافزار، نویسندگان می‌توانند هر محموله‌ای را که دوست دارند خارج کنند.

بیل بودینگتون، محقق امنیتی EFF، پس از خرید یک دستگاه آسیب دیده از آمازون، به طور مستقل یافته های Milisic را تایید کرد. چندین مدل تلویزیون Android AllWinner و RockChip دیگر نیز با این بدافزار از پیش بارگذاری شده اند، از جمله AllWinner T95Max، RockChip X12 Plus و RockChip X88 Pro 10.

تصویری از AllWinner T95 لیست شده در آمازون. اعتبار تصویر: TechCrunch (عکس از صفحه نمایش)

بات‌نت‌ها معمولاً از صدها، اگر نه هزاران یا میلیون‌ها دستگاه در معرض خطر در سراسر جهان تشکیل شده‌اند. اپراتورهای پشت بات نت می توانند از این شبکه مخرب گسترده برای استخراج ارزهای دیجیتال در دستگاه آسیب دیده، سرقت داده ها (در صورت وجود) از دستگاه یا شبکه ای که به آن متصل است استفاده کنند یا از پهنای باند اینترنت جمعی از این دستگاه ها برای ضربه زدن به وب سایت ها و سرورهای اینترنتی دیگر استفاده کنند. با ترافیک ناخواسته، که به عنوان حمله انکار سرویس توزیع شده شناخته می شود، آنها را آفلاین می کند.

Milisic از شرکت اینترنتی میزبان سرورهای فرمان و کنترل که دستورالعمل‌ها را به بات‌نت گسترده‌تر می‌فرستاد خواست تا آن سرورها را آفلاین کند و سرورهایی که میزبان بدافزار کلیک تبلیغاتی بودند مدت کوتاهی بعد ناپدید شدند. با این حال، او هشدار داد که بات‌نت می‌تواند در هر زمان با زیرساخت‌های جدید بازگردد.

مشخص نیست بات نت چقدر بزرگ است. بودینگتون به TechCrunch گفت: «تعیین کمی مقیاس این شبکه دشوار است. آنچه ما می دانیم این است که به هر کجا که نگاه می کنیم، انواع مختلفی از بدافزار تروجان اندروید وجود دارد که بدافزارهای مرحله بعدی را از همان مجموعه IP دانلود می کنند، بدافزارهایی که در گذشته در حملات زنجیره تامین دخیل بوده اند. این یک عملیات چشمگیر و ناراحت کننده است.»

Milisic و Budington خاطرنشان می کنند که هیچ راه آسانی برای حذف بدافزار برای کاربر معمولی وجود ندارد. بیرون انداختن کامل جعبه ممکن است بهترین گزینه برای کاربران آسیب دیده باشد.

Milisic به TechCrunch گفت: “من فکر می کنم تنها راه برای کاهش این مشکل این است که خرده فروشان را با استانداردهای بالاتر نگه داریم.” با اشاره به فروشندگان آنلاین مانند آمازون، “آنها اجازه ندارند اسباب بازی های کودکانه ساخته شده از تیغ های چرخان را بفروشند، چرا اجازه دادن به فروشندگان کوچک و ناشناخته برای فروش کامپیوترهایی که مخرب کار می کنند بدون اطلاع و اجازه صاحبان مجاز نیست؟”

هنگامی که TechCrunch به آن رسید، آدام مونتگومری، سخنگوی آمازون، از گفتن اینکه آیا آمازون امنیت دستگاه‌هایی را که می‌فروشد بررسی می‌کند یا قصد دارد دستگاه‌های حاوی بدافزار را از فروش حذف کند، خودداری کرد.

AllWinner و RockChip درخواست‌هایی را برای اظهار نظر ارسال نکردند.

در سال های اخیر فشارهایی برای بهبود استانداردهای امنیت سخت افزاری صورت گرفته است. دولت بایدن گفت که قصد دارد در سال جاری یک سیستم برچسب‌گذاری برای دستگاه‌های متصل به اینترنت به عنوان بخشی از تلاش‌ها برای تشویق سازندگان دستگاه‌ها برای بهبود امنیت دستگاه خود، مانند اضافه کردن مکانیسم‌های به‌روزرسانی برای رفع نقص‌های امنیتی، راه‌اندازی کند. در سال 2018، کالیفرنیا قانونی را تصویب کرد که دستگاه‌های متصل به اینترنت را از استفاده از گذرواژه‌های پیش‌فرض و قابل حدس زدن منع می‌کند، که بازیگران بد اغلب از آنها برای هک کردن دستگاه‌ها و به دام انداختن آنها در یک بات‌نت استفاده می‌کنند.

در زمان نگارش این مقاله، مدل‌های آسیب‌دیده AllWinner و RockChip هنوز برای فروش در آمازون در دسترس هستند.