Estudo: vulnerabilidades em TV boxes podem levar à invasão de outros dispositivos da sua casa

O uso de TV boxes não homologadas pela Agência Nacional de Telecomunicações (Anatel) pode trazer extremo risco a todos os dispositivos conectados ao wi-fi de sua casa pelo mesmo roteador, de acordo com novo estudo divulgado pelo órgão.

Segundo o relatório, aparelhos como smartphones, tablets, notebooks e consoles de jogos podem ser invadidos se compartilharem da mesma conexão sem fio que qualquer uma das TV boxes. Segundo a Anatel, o estudo identificou novas vulnerabilidades que expõem a segurança de uma conexão residencial a maus atores.

Imagem: Receita Federal/Divulgação

“Além da presença de malwares, foram identificadas falhas de segurança no processo de atualização dos aplicativos, permitindo que toda a informação trocada seja capturada e modificada por um atacante mal-intencionado e possibilitando, assim, a instalação de aplicativos maliciosos nos dispositivos” – Moisés Moreira, conselheiro da Anatel

É importante ressaltar que as TV boxes são parte de um conceito muito amplo de produto: tecnicamente, qualquer produto que consiga reproduzir aplicações inteligentes pode ser considerado uma “tv box” – daí a razão da Anatel homologar algumas, mas não todas. Empresas como Intelbrás e Aquarius possuem vários modelos que têm o aval da agência técnica do governo federal.

O estudo, no entanto, refere-se especificamente aos modelos não autorizados – aqueles que você adquire em feiras populares ou mercados mais regionais: um outro nome para estes aparelhos é “IPTV”.

Esses, segundo a agência, possuem uma composição de hardware e software que expõe sua segurança, permitindo, em alguns casos, que criminosos possam assumir o controle do dispositivo e instalar aplicativos em segundo plano.

Ou seja, você não vê o app, mas o hacker sim. E por “app”, entenda qualquer coisa que o invasor desejar, desde algum serviço de captura de dados até registros financeiros, fotos e vídeos que outros dispositivos na mesma rede wi-fi tenham armazenados. Por exemplo: ao assumir o controle da tv box, um hacker pode “ver”, ou até mesmo copiar, o que você tem salvo no seu celular.

Segundo trecho do comunicado divulgado:

“Os estudos de 2022, realizados com a colaboração de técnicos da ABTA, também abrangeram a realização de uma “prova de conceito” para explorar as vulnerabilidades constatadas. Nessa prova, foi simulado um ambiente de rede típico de uso residencial de um dispositivo TV box, no qual esse aparelho foi conectado ao mesmo roteador utilizado para conectar os demais dispositivos do usuário, como celulares, tablets e computadores. 

Como resultado, equipamentos conectados na mesma rede do TV box foram invadidos e neles foi realizada a execução remota de aplicativos, ações de captura de tela estática (screenshot), visualização e gravação em tempo real da tela do usuário (screenshare), tudo isso sem que o usuário pudesse perceber” – Hermano Tercius, superintendente de Fiscalização da Anatel

O relatório completo da análise da Anatel sobre TV boxes não homologadas está disponível para consulta pública no site do órgão.

via Agência Nacional de Telecomunicações