アカウント名:
パスワード:
HDMI-CECでリモコン操作をエミュレートして接続先機器上のアプリ削除操作行わせることができる、って話なので今回のタイトルが「bad HDMI」ってことを考えると、既知のbad USBの応用論って感じですねbadUSBは入力のみで実施した結果を読み込むことができなかったけど、badHDMIだとHDMI映像経由で現状を把握できちゃうからより高度なことはできそうなので、脅威といえば脅威になるか?とはいえ、仕込む先はテレビかHDMI切り替え機内部で、操作対象機器はApple TVやAmazon FireTV等になるのか?どういう攻撃がいいかターゲット絞り込みが難しそうだな
無人のキャッシュディスペンサーにUSB端子が付いてたら悪用されるってのは、一昔前の実話だけど、まあ、今なら前のIT大臣でもやばいってわかるでしょ。自信はないけど。
でも、病院や銀行の待合室にあるテレビのHDMI端子を接着剤で塞いでるのは見たことない。知らないうちに何か挿すっていう難易度を考えたら、「不特定多数が近づいて怪しまれない」条件を満たしてる機器こそ危ない。テレビを利用する人のリテラシの平均値とPCを利用する人のリテラシの平均値の差があるから。
図書館や漫画喫茶みたいなところは特に危ないんじゃないかな。PCはガチガチにキオスク化してても、テレビは素のままってありそう。
前のIT大臣「スマホを充電できるなんて便利になったな」
まぁUSBに比べたらHDMIは警戒心が薄れるのはわかる
badUSBは入力のみで実施した結果を読み込むことができなかったけど、
DisplayLinkの石積んだbadUSB作れば出力読めるんじゃないかな
さすがにDispayLinkが認識されたらモニタが増えるわけだし即バレでしょ
よくわかってないのだが、HDMI経由でAppleTVみたいなデバイスをハックできる可能性があるって事でいいのかな?デバイス側がセキュリティ甘ければファームを更新してDoomを動かすような
著作権がらみだったら、全力で対応してきそうな気がする
HDCP無視できるキャプチャボードとか普通に売ってあるがな
機器を勝手に操作されるって話だね。普通のHDMIでも電源使えるけど、MHLポートやアクティブHDMIケーブルなら電力も潤沢に使えるし。
他にはキーロガー作れるし、PIN認証を保持して特定コンテンツを勝手に購入とか出来るかもね。レコーダーやテレビによっては、HDMIのイーサネットチャンネル経由で家庭内LANに接続可能だから侵入口になるかも。(テレビやレコーダー等がLAN HUBになってHDMIケーブル経由で接続される。)
それって「HDMI HEC」対応のAV機器だったら、これはLANに「悪意を持った機器」をつなぐことと同じよ、って意味ね。まあ、LAN自体そんなもんなんだから、そんなもんでしょうね。LANに直接つなぐより、チェックが甘くなるかも。
CECだから、リモコンみたいな操作ができるってこと。USB HIDのふりをしてPCを操作するUSBドングルみたいことができる。
でもなあ。画面が見れるわけでもないし、HIDよりはかなり自由度が低いのでたかがしれてる。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
まあ、そんなもんだよね (スコア:1)
HDMI-CECでリモコン操作をエミュレートして接続先機器上のアプリ削除操作行わせることができる、って話なので
今回のタイトルが「bad HDMI」ってことを考えると、既知のbad USBの応用論って感じですね
badUSBは入力のみで実施した結果を読み込むことができなかったけど、badHDMIだとHDMI映像経由で現状を把握できちゃうからより高度なことはできそうなので、脅威といえば脅威になるか?
とはいえ、仕込む先はテレビかHDMI切り替え機内部で、操作対象機器はApple TVやAmazon FireTV等になるのか?
どういう攻撃がいいかターゲット絞り込みが難しそうだな
Re:まあ、そんなもんだよね (スコア:2, 興味深い)
無人のキャッシュディスペンサーにUSB端子が付いてたら悪用されるってのは、一昔前の実話だけど、まあ、今なら前のIT大臣でもやばいってわかるでしょ。自信はないけど。
でも、病院や銀行の待合室にあるテレビのHDMI端子を接着剤で塞いでるのは見たことない。知らないうちに何か挿すっていう難易度を考えたら、「不特定多数が近づいて怪しまれない」条件を満たしてる機器こそ危ない。テレビを利用する人のリテラシの平均値とPCを利用する人のリテラシの平均値の差があるから。
図書館や漫画喫茶みたいなところは特に危ないんじゃないかな。PCはガチガチにキオスク化してても、テレビは素のままってありそう。
Re:まあ、そんなもんだよね (スコア:1)
前のIT大臣「スマホを充電できるなんて便利になったな」
まぁUSBに比べたらHDMIは警戒心が薄れるのはわかる
Re:まあ、そんなもんだよね (スコア:1)
badUSBは入力のみで実施した結果を読み込むことができなかったけど、
DisplayLinkの石積んだbadUSB作れば出力読めるんじゃないかな
Re: (スコア:0)
さすがにDispayLinkが認識されたらモニタが増えるわけだし即バレでしょ
Re:まあ、そんなもんだよね (スコア:1)
よくわかってないのだが、HDMI経由でAppleTVみたいなデバイスをハックできる可能性があるって事でいいのかな?
デバイス側がセキュリティ甘ければファームを更新してDoomを動かすような
Re:まあ、そんなもんだよね (スコア:1)
著作権がらみだったら、全力で対応してきそうな気がする
Re:まあ、そんなもんだよね (スコア:1)
HDCP無視できるキャプチャボードとか普通に売ってあるがな
Re:まあ、そんなもんだよね (スコア:1)
機器を勝手に操作されるって話だね。
普通のHDMIでも電源使えるけど、MHLポートやアクティブHDMIケーブルなら電力も潤沢に使えるし。
他にはキーロガー作れるし、PIN認証を保持して特定コンテンツを勝手に購入とか出来るかもね。
レコーダーやテレビによっては、HDMIのイーサネットチャンネル経由で家庭内LANに接続可能だから侵入口になるかも。
(テレビやレコーダー等がLAN HUBになってHDMIケーブル経由で接続される。)
Re: (スコア:0)
それって「HDMI HEC」対応のAV機器だったら、これはLANに「悪意を持った機器」をつなぐことと同じよ、って意味ね。
まあ、LAN自体そんなもんなんだから、そんなもんでしょうね。
LANに直接つなぐより、チェックが甘くなるかも。
Re: (スコア:0)
CECだから、リモコンみたいな操作ができるってこと。
USB HIDのふりをしてPCを操作するUSBドングルみたいことができる。
でもなあ。画面が見れるわけでもないし、HIDよりはかなり自由度が低いのでたかがしれてる。