TCL在11月16日的声明中表示,“虽然已确认已对其Bug-进行了改进,报告过程是必需的。
TCL表示:“展望未来,我们正在制定流程,以更好地响应第三方的发现,并为我们的客户服务代理进行有关这些问题的升级程序的额外培训,以及在线建立直接报告系统。”
TCL补充说:“更新设备和应用程序以增强安全性在技术行业中是经常发生的事,这些更新应在未来几天内分发给所有受影响的Android TV机型。”“ TCL非常重视隐私和安全性,尤其感谢独立研究人员在技术生态系统中发挥的至关重要的作用。”
TCL表示,该问题影响“数量有限”的电视-型号32S330、40S330、43S434、50S434、55S434、65S434和75S434。
在这两个错误中,CVE-2020-24703不会影响在北美销售的产品。该问题的修复程序于10月30日通过APK升级开始推出。它涉及T-Cast(Magic Connect)应用程序,该应用程序允许通过移动设备进行流式传输。
TCL说:“此漏洞允许通过LAN查看内容目录,但是没有写或执行权限。”“ T-Cast从未安装在美国或加拿大发行的电视上,因此这些产品上不存在此漏洞。”
但是,第二个错误确实影响了在美国和加拿大销售的电视。“ TCL实验室日以继夜地测试系统升级解决方案,以解决CVE-2020-28055以完成目录权限的修改。在成功进行测试之前,预计更新将在未来几天内分发, TCL周一表示。
至于TCL对电视的访问类型,该公司表示,“只有在用户在诊断过程中要求采取这种措施时,它才能远程远程操作电视的大多数功能。该过程必须由用户启动并输入代码提供给TCL客户服务代理商以便对电视进行诊断访问。在北美市场上从未实现过此功能。”
来自安全研究员“ Sick Codes”和Shutterstock应用程序安全工程师John Jackson进行的为期三个月的调查发现,可以通过未记录的TCP / IP端口通过Wi-Fi访问TCL智能电视文件系统,然后进行收集,删除或无需任何密码或安全检查就可以覆盖文件。该问题不会影响基于Roku的TCL电视。
Sick Codes在接受Tom's Guide采访时声称,其中一种TCL电视应用程序称为Terminal Manager Remote,是“中文后门”,尽管他不知道它是否在发送或接收信息。Sick Codes和Jackson向网站提供了一个URL,该URL授予作者在赞比亚的TCL智能电视的访问权限,他们可以在其中浏览电视的目录,直到用户关闭设备为止。
研究人员试图警告TCL他们的发现,但未收到任何答复。TCL支持人员告诉Sick Codes,“她没有安全小组的联系方式,甚至都不知道TCL是否有安全小组。”他们还联系了美国计算机紧急响应小组(US-CERT),该小组花了一些时间进行答复,但最终告诉他们如果没有收到TCL的答复,则应披露该漏洞。
最终,该问题已在Sick Codes的电视上以“无声补丁”修复。他告诉The Security Ledger,TCL“基本上登录了我的电视并关闭了端口。”此修补程序并不适用于所有TCL模型,但是,如Sick Codes所述,此“后门”意味着该公司还可以完全使用消费者模型。
