安全公司發現Xfinity電視遙控器中存在漏洞

云安全公司GuardiCore Ltd.的一組研究人員發現了Comcast提供的Xfinity用戶社區的遠程控制漏洞。在他們的博客頁面上，他們介紹了如何劫持XR11遠程控制設備發出的射頻(RF)通信，從而允許他們收聽在設備附近進行的對話。

幾年前，有線電視和互聯網提供商Comcast開始為其Xfinity客戶提供一種新型的遠程控制設備，該設備可以通過語音命令更改頻道并訪問其他在線服務。新型遙控器XR11對于Comcast來說非常成功。根據GuardiCore的帖子，它現在是該國最受歡迎的遙控器。通過這項新工作，GuardiCore的研究人員發現可以劫持遙控器并對其進行重新編程以用作秘密記錄設備。他們能夠模仿按下激活監聽設備的按鈕，然后將人的通訊路由到距離很遠的監聽設備。這樣，他們就可以將遙控器用作非法的竊聽設備。

GuardiCore團隊在他們的博客文章中指出，他們正在尋找Xfinity服務隨附的機頂盒中的漏洞，Xfinity服務是通常與XR11遙控器進行通信的設備。找到一個漏洞(他們立即向Comcast報告)后，他們將注意力轉移到了遠程上。他們發現他們能夠使用RF收發器在遙控器上安裝軟件，然后允許他們操縱設備本身。經過大量的反向工程后，他們發現了設備的工作原理，然后以所需的方式對其進行了重新編程-其中之一是打開并收聽廣播。研究人員發現設備上的麥克風 具有足夠高的質量，他們可以與距離遙控器不超過15英尺的人進行通話。

GuardiCore在發布結果之前向康卡斯特(Comcast)報告了他們的發現，使公司有時間創建補丁并將其發送給客戶。因此，該漏洞不再存在。