Schwachstellen im Amazon Fire TV Stick

Amazon Fire TV Stick
Bildquelle: Picturesque Japan / Shutterstock.com

Bitdefender hat in einem Report mehrere mittlerweile behobene Sicherheitslücken im Amazon Fire TV Stick und in der Insignia Fire OS TV Serie dokumentiert.

Die Experten der Bitdefender Labs hatten im Dezember 2022 den Hersteller über die Schwachstellen informiert, worauf Amazon seine Analysen startete und im April 2023 einen Patch entwickelte sowie automatisch ausspielte. Die Schwachstellen ermöglichten die ungerechtfertigte Authentifikation von Nutzern mit einer Brute-Force-Attacke im Local Ara Network, das Ausführen von eigenem Javascript-Code, das willkürliche Laden von HTTP-URLs sowie das Registrieren für Dienste, die nur lokal bereitstehen, durch Hacker.

Anzeige

Nach Angaben von Amazon haben Hacker die Schwachstelle nicht ausgenutzt. Der Patch wurde automatisch ausgespielt. Bitdefender rät den Anwendern dennoch dazu, sicherheitshalber die Aktualität der Software-Version auf ihrer Hardware zu überprüfen.

Die weitverbreitete Amazon-Fire-TV-Hardware liefert eine Schnittstelle für die vollständige Konnektivität von jeder Hardware, um lokalen oder über die Cloud bereitgestellten Inhalt auszuspielen. Über den Amazon-Fling-Dienst empfangen die Geräte den Inhalt aus dem Local Area Network und spielen ihn dann auf einem Fernseher mit dem Amazon-Fling-Dienst ab.

Folgende Schwachstellen wurden gemeldet und behoben:

• CVE-2023-1385:
 Ein unsachgemäß implementierter Austausch von Schlüsseln mit dem J-PAKE-Protokoll bot die Möglichkeit, die PIN-Nummer offline mit einer Brute-Force-Attacke innerhalb von maximal 9.000 Versuchen in Erfahrung zu bringen. Damit hätten Hacker auch lokalen Zugriff auf den amzn.lightning-Dienst erlangt, um den Developer-Modus auf dem Gerät aktivieren zu können und Zugang auf eine limitierte Shell zu erhalten. Auch der Sideload von Applikationen wäre ihnen so möglich gewesen.

• CVE-2023-1384: Die setMediaSource-Funktion im amzn.thin.pl-Dienst bereinigte nicht den „source“-Parameter. Eindringlinge hätten willkürlich Javascript-Code ausführen können.

Anzeige

• CVE-2023-1383: Die exchangeDeviceServices-Funktion im amzn.dmgr-Dienst erlaubte es Angreifern, Dienste zu registrieren, die nur lokal zugänglich waren. So hätten sie zum Beispiel auch Informationen über das Gerät auslesen können.

Der vollständige Report sollte hier zum Download verfügbar sein.

www.bitdefender.com

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.