Бэкдоры позволяют просматривать файловую систему без ввода пароля и отправлять скриншоты на серверы в Китае.
https://www.securitylab.ru/upload/ib...92ea5967bd.jpg
Исполняющий обязанности министра внутренней безопасности США (DHS) Чэд Вольф (Chad Wolf) сообщил , что ведомство изучает вопрос о том, встраивал ли китайский производитель телевизоров TCL «бэкдоры» для обхода безопасности в свои устройства на базе Android.
«DHS проводит проверку таких организаций, как китайский производитель TCL. В этом году было обнаружено, что TCL встроил бэкдоры во все свои телевизоры, что делает пользователей уязвимыми к кибератакам и краже данных. TCL также получает государственную поддержку КПК (Коммунистической партии Китая), чтобы конкурировать на мировом рынке электроники, благодаря чему компания стала третьим по величине производителем телевизоров в мире», — пояснил Вольф.
В прошлом месяце TCL сообщила ресурсу Tom's Guide об исправлении двух уязвимостей (CVE-2020-27403 и CVE-2020-28055) в устройствах TCL под управлением Android, которые были обнаружены исследователем безопасности Джоном Джексоном (John Jackson) и ИБ-специалистом из Sick Codes.
Эксплуатация одной из проблем позволяет любому просматривать файловую систему телевизора TCL без ввода пароля, другая представляла собой скрытую функцию, позволяющую отправлять скриншоты и логи активности пользователей на серверы в Китае.
По словам Sick Codes, TCL исправила данные уязвимости в телевизорах по всему миру в «тихом патче», не уведомляя владельцев телевизоров и не запрашивая у них разрешения. Это означает, что TCL имеет «полный доступ» к устройствам в домах людей.
«В целом, мы обеспокоены тем, что недавние комментарии о TCL, по-видимому, происходят из-за неточных описаний наших продуктов, функций и возможностей и, к сожалению, привели к спекулятивным выводам и поспешным суждениям. Мы категорически отвергаем необоснованные комментарии и умозрительные выводы», — сообщил представитель TCL журналистам Tom's Guide.