Se você tiver um Fire TV Stick conectado à sua televisão, é vital que verifique se ele está totalmente atualizado com o software mais recente. Este aviso urgente foi emitido pelos especialistas em segurança da Bitdefender, que descobriram uma série de vulnerabilidades que podem deixar os gadgets de streaming abertos a ataques de criminosos cibernéticos.
Na verdade, uma das falhas era tão séria que poderia resultar em invasores obtendo controle total do dispositivo – isso é claramente preocupante para quem usa a popular tecnologia de TV da Amazon.
Um total de três bugs foram encontrados, com a equipe alertando a Amazon sobre os problemas no final do ano passado.
O varejista on-line lançou um patch urgente, mas é vital que os usuários verifiquem se as coisas estão totalmente atualizadas para o sistema operacional mais recente.
Felizmente, parece que o lançamento do software aconteceu com rapidez suficiente para impedir a ocorrência de qualquer ataque, sem nenhuma evidência de que os problemas foram usados contra os clientes.
A Bitdefender diz que tem trabalhado em estreita colaboração com a equipe Amazon Fire TV em todos os estágios de divulgação de vulnerabilidade com a empresa elogiando a Amazon por sua resposta rápida.
Para verificar se sua Fire TV está atualizada, siga estas etapas.
Para atualizar seu Fire TV Stick, navegue até Configurações > My Fire TV > Sobre e selecione Verificar atualização do sistema. Se houver uma atualização disponível, você poderá instalá-la imediatamente. Seu sistema será reiniciado assim que o download for concluído.
Visão geral das vulnerabilidades
• Autenticação não autorizada por força bruta do PIN da rede local. Esta vulnerabilidade foi causada pela implementação imprópria do protocolo Password Authenticated Key Exchange by Juggling (ou J-PAKE) que pode ter resultado em invasores obtendo o controle do dispositivo. (CVE-2023-1385)
• Uma vulnerabilidade na função setMediaSource no serviço amzn.thin.pl permitia a execução de código Javascript arbitrário. Ele pode ser usado para carregar URLs HTTP arbitrários no webview. (CVE-2023-1384)
• Uma vulnerabilidade na função exchangeDeviceServices no serviço amzn.dmgr permitia que um invasor registrasse serviços acessíveis apenas localmente. (CVE-2023-1383)