芒果体育Avast物联网实验室的研究人员发现，两款流行的电视机顶盒中存在严重的安全漏洞，这些漏洞可能使网络犯罪分子在这些设备上存储恶意软件芒果体育，以发动僵尸网络攻击或利用天气预报服务勒索软件。

　　此次被审视的盒子由消费电子公司汤姆逊和飞利浦制造，汤姆逊的THT741FTA和飞利浦的DTR3502BFTA在整个欧洲都有售，消费者通常会购买不支持DVB-T2的电视机芒果体育，DVB-T2是地面电视的最新数字信号，可提供额外的高清电视服务。

　　这项调查由物联网实验室团队负责人的Vladislav Iluishin和物联网威胁研究人员Marko Zbirka领导，于今年1月开始，是Avast正在进行的探索和测试物联网设备安全态势计划的一部分。

　　在分析早期，这两种联网设备都是由制造商提供的，带有开放的telnet端口，这是一种已有50多年历史的未加密协议，用于与远程设备或服务器通信。这可能允许攻击者获得对设备的远程访问权限，并在僵尸网络中招募它们来发起分布式拒绝服务(DDoS)攻击或其它恶意计划。Iliushin和Zbirka成功地在两个机顶盒上执行了广泛传播的Mirai僵尸网络的二进制代码。

　　研究人员还揭露了与机顶盒架构有关的疏忽。这两款设备均依赖于Linux Kernel 3.10.23，这是一款于2016年安装在机顶盒上的特权程序，通过为软件分配足够多的资源使其能够运行，成为设备硬件和软件之间的桥梁。然而，对3.10.23版的支持已于2017年11月到期，这意味着针对漏洞和漏洞的补丁程序仅在发布一年后就被终止，这使得用户之后会面临潜在的攻击。

　　影响这些设备的其他安全问题包括：机顶盒和热门天气预报服务AccuWeather的预装传统应用程序之间的未加密连接，这是通过分析机顶盒和路由器之间的流量发现的一个启示。盒子与AccuWeather后端之间的不安全连接可能会使不良平台在使用天气应用程序时修改用户在电视上看到的内容。例如，入侵者可能会显示勒索软件消息，声称用户的电视已被黑，同时要求付费以释放设备芒果体育。

　　“制造商不仅要确保产品在可供购买之前达到安全标准，还应负责确保其自身安全性从而确保用户的安全。”Iliushin说，“不幸的是，物联网制造商很少去思考如何减少产品的威胁面。相反，他们完全依赖最低限度，或者在极端情况下完全不顾物联网和客户安全，以节省成本更快地将其产品推向市场。”