<p>TCL 스마트 TV에는 '중국 백도어'가있을 수 있습니다. 지금 자신을 보호하십시오.</p><p>보안 연구원들은 몇 가지 매우 심각한 문제를 발견했다고 말합니다</p><p>Android를 실행하는 TCL 스마트 TV는 거대한 보안 허점을 가지고있는 것으로 보이며 심지어 전 세계 사용자를 감시하도록 설계 될 수 있다고 두 보안 연구원은 말합니다. 이 문제는 Roku 소프트웨어를 실행하는 TCL 세트에 영향을주지 않습니다 .</p><p>"나는 진심으로 내가, 내가 길을 따라 만난 다른 보안 연구원, 무슨 일이 일어 났는지 믿을 수 없다는 것을 여러 순간이 있다고 말할 수있다", "자신을 호출 연구원 썼다 아픈 코드를 이번 주 초에 블로그 게시물을." "여러 번 나는 마치 '당신은 이것을 만들 수조차 없다'는 느낌을 받았습니다."</p><p>Sick Codes와 사진 라이선스 서비스 Shutterstock에서 근무하는 다른 연구원 John Jackson은 문서화되지 않은 TCP / IP 포트를 사용하여 Wi-Fi 연결을 통해 TCL 스마트 TV의 전체 파일 시스템에 액세스 할 수 있음을 발견했습니다. 그들은 또한 TV에있는 파일을 덮어 쓸 수 있다는 것을 발견했습니다.</p><p>이 모든 작업은 사용자 이름, 암호 또는 어떤 종류의 인증도 입력하지 않고도 수행 할 수 있습니다. 연구원들이 피츠버그에있는 카네기 멜론 대학의 미국 컴퓨터 비상 대응 팀 (US-CERT)에 통보 한 후이 결함에 공통 취약성 및 노출 카탈로그 번호 CVE-2020-27403 및 CVE-2020-28055가 지정 되었습니다.</p><p>Tom 's Guide는 Twitter를 통해 Sick Codes와 Jackson에게 연락했고 그 결과 대화 과정에서 잠비아에있는 TCL 스마트 TV의 파일 시스템에 대한 전체 액세스 권한을 부여하는 것처럼 보이는 URL이 전송되었습니다.</p><p>우리는 TV 사용자가 분명히 TV를 끌 때까지 Android 휴대 전화의 Chrome 브라우저를 통해이 무작위 사람의 TV 디렉토리를 탐색 할 수있었습니다.</p><p>(Sick Codes는 인터넷에 직접 연결된 전 세계적으로 단 12 개의 TCL 스마트 TV 중 하나라고 말했습니다. 대부분의 경우 파일 시스템을 탐색하려면 동일한 로컬 Wi-Fi 네트워크에 있어야합니다. )</p><p><br>"경력 역사상 http를 통해 전체 파일 시스템을 제공해야했던 적이 언제입니까?" 그의 블로그 게시물에서 Sick Codes에 대해 궁금해했습니다.</p><p>Tom 's Guide는 중국 회사 인 TCL의 북미 사업부에 대한 논평을 요청했으며, 답변을 받으면이 이야기를 업데이트 할 것입니다.</p><p>TCL TV는 고객의 파일을 수집합니까?<br>또한 TCL TV의 앱인 Terminal Manager Remote라는 앱에 사용자 TV와 관련된 파일, 로그 및 스크린 샷을 처리 할 준비가되어있는 서버를 나열하는 구성 파일이 있음을 발견했습니다.</p><p>Sick Codes는 전화 통화에서 "중국 백도어입니다."라고 말했습니다.</p><p>연구원의 블로그 게시물에는 4 개의 지역으로 나뉘어 진 서버 목록의 스크린 샷이 있습니다. 하나는 중국 본토, 나머지 아시아 태평양 지역 (홍콩 및 대만 포함), 세 번째는 중동, 아프리카 및 유럽, 네 번째는 라틴 아메리카 및 북미 지역이었습니다.</p><p>이러한 서버가 TCL TV로 파일을 전송하기위한 것인지 아니면 TCL TV에서 파일을 수신하기위한 것인지는 명확하지 않았습니다.</p><p>"정답이 없습니다."블로그 게시물에 Sick Codes가 썼습니다. "하지만 TCL은 그렇습니다."</p><p>Tom 's Guide는 몇 개의 URL에 액세스하려고했지만 "GET"요청 (웹 브라우저에서 파일을 다운로드하기위한 일반적인 요청)이 지원되지 않는다고 들었습니다. 근무 시간 후에 파일을 업로드하기 위해 "POST"요청을 보내려고 할 것이며 흥미로운 것을 발견하면이 이야기를 업데이트 할 것입니다.</p><p>Sick Codes는 또한 수십 개의 TCL 펌웨어 업데이트를 보유하고있는 광범위한 개방형 웹 서버로 보이는 링크를 우리에게 보냈습니다. 파일을보기 위해 권한이 필요하지 않았습니다. 우리는 다운로드를 시도하지 않았지만 Sick Codes는 그것이 가능할 것이라고 말했습니다.</p><p>걱정스러운 의미를 지닌 '사일런트 패치'<br>Sick Codes와 Jackson은 10 월 16 일부터 결함을 알리기 위해 이메일, 트위터, 전화 및 TCL 웹 사이트에 직접 게시를 통해 TCL에 연락하려했지만 10 월 26 일까지 걸렸다 고 밝혔다. 메시지가 수신되었습니다.</p><p>Sick Codes는 블로그 게시물에 "TCL에 전화를 걸어 지원 담당자와 이야기했습니다."라고 썼습니다. "나는 그녀에게 심각한 취약성이 있다고 촉구했고 그녀는 보안 팀에 대한 연락처 정보가 없으며 TCL에 보안 팀이 있는지 생각 / 알지도 못했다고 말했습니다."</p><p>10 월 29 일 테스트 TV 세트의 문제가 알림, 경고 또는 사용자 인증 요청없이 갑자기 수정되었습니다.</p><p>Sick Codes는 이 이야기를 처음보고 한 The Security Ledger에 "이것은 완전히 침묵하는 패치였습니다."라고 말했습니다 . "그들은 기본적으로 내 TV에 로그인하고 포트를 닫았습니다."</p><p>Sick Codes에게 이것은 일부 모델에서 패치 된 보안 결함만큼 걱정 스럽습니다 (Tom 's Guide가 파일 시스템을 탐색 할 수있는 모델은 아닙니다).</p><p>"이것은 뒷문에 가득 차있다"고 그는 The Security Ledger에 말했다. "원한다면 TV를 켜거나 끄고, 카메라와 마이크를 켜거나 끌 수 있습니다. 그들은 모든 권한을 가지고 있습니다."</p><p>TCL 스마트 TV가 있으면 어떻게해야합니까?<br>TCL 스마트 TV를 소유하고 있다면 먼저 Roku 소프트웨어를 실행하는 버전 중 하나인지 확인하세요. 이들은 이러한 결함의 영향을받지 않는 것 같습니다.</p><p>Roku 모델이 아닌 경우 홈 Wi-Fi 네트워크에 매우 강력한 비밀번호가 있고 방문자에게 비밀번호를 제공하지 않는지 확인해야합니다. 많은 라우터를 사용하여 별도의 네트워크를 설정할 수 있습니다.</p><p>또한 인터넷에서 네트워크 내부의 장치에 대한 액세스를 비활성화하려면 라우터의 관리 메뉴로 들어가는 것이 좋습니다.</p>
<!-- -->
