ممکن است AllWinner و RockChip نامهای معروفی نباشند، اما این دو شرکت مستقر در چین چندین جعبه تلویزیون اندرویدی بسیار محبوب را تولید میکنند که در آمازون فروخته میشوند.
این ستتاپ باکسهای تلویزیونی مجهز به اندروید معمولاً ارزان هستند و بسیار قابل تنظیم هستند و به جای خرید سختافزار جداگانه، چندین سرویس پخش را در یک دستگاه جمع میکنند. لیست های آنها در آمازون دارای رتبه بندی چهار از پنج ستاره است و در مجموع هزاران بررسی ستودنی را به خود اختصاص داده است.
اما محققان امنیتی میگویند این مدلها با بدافزار از پیش بارگذاری شده به فروش میرسند که قادر به انجام حملات سایبری هماهنگ هستند.
سال گذشته، دانیل میلیسیچ یک دستگاه ستاپ باکس AllWinner T95 خریداری کرد و متوجه شد که به بدافزار آلوده شده است. Milisic متوجه شد که ست تاپ باکس مجهز به اندروید با سرورهای فرمان و کنترل ارتباط برقرار می کند و منتظر دستورالعمل هایی است که چه کاری باید انجام دهد. تحقیقات در حال انجام او که در GitHub منتشر کرد، نشان داد که مدل T95 او خارج از جعبه است که به یک بات نت بزرگتر از هزاران جعبه تلویزیون Android آلوده به بدافزار دیگر در خانه ها و دفاتر در سراسر جهان متصل می شود.
Milisic گفت که بار پیشفرض این بدافزار یک ربات کلیکی است، که اساساً کدی است که با ضربه زدن مخفیانه روی تبلیغات در پسزمینه، پول تبلیغات تولید میکند. پس از روشن شدن جعبههای Android TV آسیبدیده، بدافزار از پیش بارگذاریشده بلافاصله با یک سرور فرمان و کنترل تماس میگیرد، دستورالعملهای آن را در مورد مکان یافتن بدافزار مورد نیاز خود دریافت میکند و بارهای اضافی را به دستگاهی میکشد که کلاهبرداری با کلیک روی آگهی را انجام میدهد.
Milisic به TechCrunch گفت: «اما به دلیل نحوه طراحی بدافزار، نویسندگان میتوانند هر محمولهای را که دوست دارند خارج کنند.
بیل بودینگتون، محقق امنیتی EFF، پس از خرید یک دستگاه آسیب دیده از آمازون، به طور مستقل یافته های Milisic را تایید کرد. چندین مدل تلویزیون Android AllWinner و RockChip دیگر نیز با این بدافزار از پیش بارگذاری شده اند، از جمله AllWinner T95Max، RockChip X12 Plus و RockChip X88 Pro 10.

تصویری از AllWinner T95 لیست شده در آمازون. اعتبار تصویر: TechCrunch (عکس از صفحه نمایش)
باتنتها معمولاً از صدها، اگر نه هزاران یا میلیونها دستگاه در معرض خطر در سراسر جهان تشکیل شدهاند. اپراتورهای پشت بات نت می توانند از این شبکه مخرب گسترده برای استخراج ارزهای دیجیتال در دستگاه آسیب دیده، سرقت داده ها (در صورت وجود) از دستگاه یا شبکه ای که به آن متصل است استفاده کنند یا از پهنای باند اینترنت جمعی از این دستگاه ها برای ضربه زدن به وب سایت ها و سرورهای اینترنتی دیگر استفاده کنند. با ترافیک ناخواسته، که به عنوان حمله انکار سرویس توزیع شده شناخته می شود، آنها را آفلاین می کند.
Milisic از شرکت اینترنتی میزبان سرورهای فرمان و کنترل که دستورالعملها را به باتنت گستردهتر میفرستاد خواست تا آن سرورها را آفلاین کند و سرورهایی که میزبان بدافزار کلیک تبلیغاتی بودند مدت کوتاهی بعد ناپدید شدند. با این حال، او هشدار داد که باتنت میتواند در هر زمان با زیرساختهای جدید بازگردد.
مشخص نیست بات نت چقدر بزرگ است. بودینگتون به TechCrunch گفت: «تعیین کمی مقیاس این شبکه دشوار است. آنچه ما می دانیم این است که به هر کجا که نگاه می کنیم، انواع مختلفی از بدافزار تروجان اندروید وجود دارد که بدافزارهای مرحله بعدی را از همان مجموعه IP دانلود می کنند، بدافزارهایی که در گذشته در حملات زنجیره تامین دخیل بوده اند. این یک عملیات چشمگیر و ناراحت کننده است.»
Milisic و Budington خاطرنشان می کنند که هیچ راه آسانی برای حذف بدافزار برای کاربر معمولی وجود ندارد. بیرون انداختن کامل جعبه ممکن است بهترین گزینه برای کاربران آسیب دیده باشد.
Milisic به TechCrunch گفت: “من فکر می کنم تنها راه برای کاهش این مشکل این است که خرده فروشان را با استانداردهای بالاتر نگه داریم.” با اشاره به فروشندگان آنلاین مانند آمازون، “آنها اجازه ندارند اسباب بازی های کودکان ساخته شده از تیغ های چرخان را بفروشند، چرا اجازه دادن به فروشندگان کوچک و ناشناس بدون اطلاع و اجازه صاحبان کامپیوترها، بد نیست؟”
هنگامی که TechCrunch به آن رسید، آدام مونتگومری، سخنگوی آمازون، از گفتن اینکه آیا آمازون امنیت دستگاههایی را که میفروشد بررسی میکند یا قصد دارد دستگاههای حاوی بدافزار را از فروش حذف کند، خودداری کرد.
AllWinner و RockChip درخواستهایی را برای اظهار نظر ارسال نکردند.
در سال های اخیر فشارهایی برای بهبود استانداردهای امنیت سخت افزاری صورت گرفته است. دولت بایدن گفت که قصد دارد در سال جاری یک سیستم برچسبگذاری برای دستگاههای متصل به اینترنت به عنوان بخشی از تلاشها برای تشویق سازندگان دستگاهها برای بهبود امنیت دستگاه خود، مانند اضافه کردن مکانیسمهای بهروزرسانی برای رفع نقصهای امنیتی، راهاندازی کند. در سال 2018، کالیفرنیا قانونی را تصویب کرد که دستگاههای متصل به اینترنت را از استفاده از گذرواژههای پیشفرض و قابل حدس زدن منع میکند، که بازیگران بد اغلب از آنها برای هک کردن دستگاهها و به دام انداختن آنها در یک باتنت استفاده میکنند.
در زمان نگارش این مقاله، مدلهای آسیبدیده AllWinner و RockChip هنوز برای فروش در آمازون در دسترس هستند.