Бэкдоры позволяют просматривать файловую систему без ввода пароля и отправлять скриншоты на серверы в Китае.

Исполняющий обязанности министра внутренней безопасности США (DHS) Чэд Вольф (Chad Wolf) сообщил , что ведомство изучает вопрос о том, встраивал ли китайский производитель телевизоров TCL «бэкдоры» для обхода безопасности в свои устройства на базе Android.

«DHS проводит проверку таких организаций, как китайский производитель TCL. В этом году было обнаружено, что TCL встроил бэкдоры во все свои телевизоры, что делает пользователей уязвимыми к кибератакам и краже данных. TCL также получает государственную поддержку КПК (Коммунистической партии Китая), чтобы конкурировать на мировом рынке электроники, благодаря чему компания стала третьим по величине производителем телевизоров в мире», — пояснил Вольф.

В прошлом месяце TCL сообщила ресурсу Tom's Guide об исправлении двух уязвимостей (CVE-2020-27403 и CVE-2020-28055) в устройствах TCL под управлением Android, которые были обнаружены исследователем безопасности Джоном Джексоном (John Jackson) и ИБ-специалистом из Sick Codes.

Эксплуатация одной из проблем позволяет любому просматривать файловую систему телевизора TCL без ввода пароля, другая представляла собой скрытую функцию, позволяющую отправлять скриншоты и логи активности пользователей на серверы в Китае.

По словам Sick Codes, TCL исправила данные уязвимости в телевизорах по всему миру в «тихом патче», не уведомляя владельцев телевизоров и не запрашивая у них разрешения. Это означает, что TCL имеет «полный доступ» к устройствам в домах людей.

«В целом, мы обеспокоены тем, что недавние комментарии о TCL, по-видимому, происходят из-за неточных описаний наших продуктов, функций и возможностей и, к сожалению, привели к спекулятивным выводам и поспешным суждениям. Мы категорически отвергаем необоснованные комментарии и умозрительные выводы», — сообщил представитель TCL журналистам Tom's Guide.

Источник: securitylab