Приставка до сих пор свободно продается на Amazon, подвергая тысячи потенциальных покупателей опасности.
Как рассказал канадский ИБ-специалист Дэниел Милисик, Smart-TV приставка от T95 на Android пришла к нему зараженной вредоносным ПО. Милисик обнаружил, что ОС приставки была подписана тестовыми ключами, а отладочный мост Android был открыт, что позволяло любому желающему получить доступ к устройству через Ethernet и Wi-Fi.
А с помощью программы Pi-hole исследователь узнал, что приставка постоянно пыталась подключиться к различным известным вредоносным доменам, а вредоносное ПО на ней работало почти как малварь CopyCat, которая захватывает контроль над устройством, после чего может устанавливать произвольные приложения и зарабатывать деньги для операторов, показывая рекламу. Кроме того, Милисик сообщил, что на приставке был установлен вредонос под названием Adups.
Пока неясно, сколько таких приставок продано, но в своем посте исследователь рассказал как можно выяснить, заражена ли T95 вредоносным ПО. Для этого нужно поискать на устройстве папку"/data/system/Corejava" и файл "/data/system/sharedprefs/openpreference.xml". Если они есть, значит, устройство было взломано.
В своем GitHub-посте Милисик предложил способ частичного отключения вредоносного ПО. Для этого нужно нарушить связь приставки с серверами, которые контролируют хакеры. Менее продвинутым пользователям исследователь порекомендовал просто выключить устройство, так как сброс до заводских настроек не помогает – малварь просто устанавливается заново.
Ладно, не доказали. Но мы работаем над этим