Les vainqueurs du TV Box hackathon ont “briqué” des box à l’aide d’une technique évolutive
Une équipe de hackers brésiliens a remporté la première place lors d’un hackathon organisé par le régulateur des télécommunications du pays. Le défi consistait à développer une solution pour empêcher les appareils décodeurs « pirates » non approuvés de fonctionner dans les foyers. L’équipe affirme avoir pu transférer à distance un code qui a complètement désactivé un appareil cible. Une fois mis en œuvre, “il y aura une panne générale dans la plupart des boîtiers irréguliers utilisés”, a prédit le pirate informatique.
“Hackathon Brasil et Anatel ont conclu avec succès le Hackathon TV Box 2024, récompensant des solutions innovantes pour mettre fin à l’utilisation d’appareils TV Box illégaux au Brésil”, indique désormais une annonce sur le site officiel.
« L’événement a réuni des experts en technologie, en sécurité des réseaux et en matériel informatique, se concentrant sur des alternatives créatives et efficaces pour protéger les consommateurs contre les menaces numériques, telles que les logiciels malveillants et l’espionnage.
L’équipe gagnante, composée de Juarez J., Aline A., Henrique A., Eduarda L., Daniel S. et Theo W., a remporté le premier prix après que sa solution ait démontré une « capacité à avoir un impact direct sur la lutte contre les téléviseurs non connectés ». approuvé par Anatel, garantissant une plus grande sécurité et confidentialité aux utilisateurs.
f56ad831-9594-4ec9-8800-c72a8602e7a1-image.png
Les concurrents ont été jugés sur leur respect des détails du défi, de l’innovation et, finalement, de l’impact potentiel de leur solution.
Anatel a averti à plusieurs reprises que de nombreux décodeurs actuellement utilisés manquent de sécurité, certains au niveau du système d’exploitation. L’équipe gagnante ne révèle pas grand-chose, mais l’exploitation de ces faiblesses fait peut-être partie de la stratégie réussie.
Aucune preuve pour l’instant, mais l’attaque semble plausible
On ne sait pas exactement ce que le chef d’équipe et porte-parole Daniel Lima est autorisé à dire en public, mais les détails révélés jusqu’à présent semblent généralement plausibles.
Dans des commentaires à Globo, Lima a déclaré que la solution de l’équipe consiste à rendre les appareils décodeurs inutiles grâce à une mise à jour logicielle contrôlée par eux, plutôt que par le fabricant ou toute entité qui s’en charge généralement. Normalement, les premiers pas auraient été beaucoup plus difficiles, mais au Brésil, des systèmes sont déjà en place pour donner un coup de main.
Comme de nombreux homologues ailleurs dans le monde, les FAI brésiliens détournent déjà les requêtes DNS dans le but de bloquer l’accès aux sites pirates. Généralement, cela implique qu’un internaute tente d’accéder au « Site bloqué A » dans son navigateur et que les serveurs DNS des FAI dirigent l’utilisateur vers une page de blocage. En supposant qu’un décodeur tente d’accéder à un nom de domaine particulier pour recevoir une mise à jour, ces demandes peuvent également être redirigées vers un autre serveur.
« Nous avons pu ajouter du code qui désactive complètement [un appareil]. Notre solution utilise des capacités réseau avancées pour permettre la modification du logiciel présent sur la boîte, sans que l’utilisateur ne puisse accéder au contenu protégé », explique Daniel.
“Puisqu’Anatel contrôle les FAI, elle peut les forcer à mettre en œuvre des fonctionnalités réseau avancées qui permettent à la box de recevoir un forfait modifié.”
Les mises en garde s’appliquent toujours
Ces hacks sont souvent plus faciles à dire qu’à faire, mais avoir la possibilité de se mêler des enregistrements DNS du FAI pour détourner un appareil vers un serveur malveillant est un bon début. Si les appareils bénéficiaient d’une sécurité plus renforcée par défaut, même cela serait confronté à des défis. Si une technique régulièrement vue dans les applications Android « pirates » avait été en place, cela aurait pu vraiment bouleverser la fête.
Connue sous le nom d’épinglage de certificat , cette pratique de mise en réseau offre une bien plus grande certitude que le serveur de destination demandé par l’hôte est celui auquel il se connecte ; certainement pas un serveur malveillant transportant une mise à jour logicielle potentiellement ruineuse.
Les affirmations contenues dans des rapports précédents décrivaient la sécurité des appareils comme étant extrêmement faible, de sorte que les mises à jour ne sont pas toujours fournies via https ; s’ils arrivent via http non sécurisé, cela représenterait un autre gros avantage. Cela ne signifie pas nécessairement que le reste du processus serait facile ou qu’un certain nombre de contre-mesures ne pourraient pas être déployées pour arrêter le projet dans son élan. Des détails sur la sécurité de ces appareils pourraient faire toute la différence, ou pas grand-chose, c’est difficile à dire.
Une forte confiance rencontre une considération plus froide
Quels que soient les détails, Daniel semble convaincu que quelque chose d’important se profile à l’horizon.
“Quand Anatel mettra en œuvre la solution, il y aura une panne générale dans la plupart des boîtes irrégulières utilisées”, insiste-t-il .
Anatel semble réticent à en dire plus et sa déclaration officielle ne dit rien sur une éventuelle utilisation. Cependant, un commentaire qui attire l’attention concerne quelque chose que nous avons mentionné dans notre article précédent .
Une solution réelle et réalisable au problème des décodeurs pirates pourrait rendre ceux qui sont à l’origine de cette solution incroyablement riches, mais seulement si elle est soutenue par une attitude ferme à l’égard de leurs droits de propriété intellectuelle les plus importants.
Gracieuseté de Globo, les commentaires d’Anatel semblent impliquer que, bien qu’utiles, toute solution doit être considérée comme une extension du travail existant d’Anatel, y compris des méthodes qu’elle connaît déjà.
Anatel organise des réunions avec les participants du Hackathon en plus des gagnants, car toutes les équipes ont présenté des solutions considérées comme des opportunités d’amélioration du processus mené par l’Agence. L’objectif des discussions a été d’adapter les solutions présentées aux méthodologies déjà utilisées par l’Agence.
De nombreuses propositions sont conformes à ce que fait déjà Anatel. Ainsi, l’Agence a considéré tous les concepts et idées qui ont été présentés comme des améliorations aux processus internes et externes de l’Agence, qui permettront d’optimiser la sécurité de l’infrastructure de télécommunications et des utilisateurs.
Le processus est déjà en cours, car il est continu, Anatel travaillant en collaboration avec les participants.
Pendant ce temps, l’équipe victorieuse de six personnes a remporté un prix en espèces de 7 000 R$ pour sa première place ; cela représente environ 1 200 $ US ou 200 $ US chacun après la scission.
Source: https://torrentfreak.com/hackathon-winners-remote-brick-pirate-iptv-box-using-scalable-technique-241120/
