大家可能都試過買到平價嘅 Android TV box,特別係臨近傳統銷售旺季,有啲款式嘅價錢真係平到你唔信,雖然呢嘅機頂盒或手指用落好似都正正常常,但唔好開心住,因為有網絡安全研究員就發現,喺 Amazon 上買返嚟嘅中國製機頂盒 T95 Android TV box,好慷慨咁買機送惡意軟件,由於惡意功能係寫死咗喺 firmware 內,所以基本上係移除唔到,而發現呢個威脅嘅加拿大研究員 Daniel Milisic,亦只可以寫段程式去阻止木馬病毒同控制中心之間嘅連繫。由於佢只係得手頭上買果件機頂盒,所以到底係全部都預裝咗惡意軟件,抑或只係佢呢部喺出廠前或寄送過程中加料,暫時都係一個謎。
T95 Android TV box 本身係一個預裝咗已簽證嘅 Android 10 ROM,而呢個 ROM 係預計經無線網絡開發咗 Android Debug Bridge(ADB),由於開放 ADB 本身可以讓有心人遙距安裝及執行程式、存取資料等等,所以呢個設定都幾唔尋常。Daniel 話當初佢係希望利用 Pi-hole DNS 沉洞技術嚟阻止非法內容及廣告,所以先至深入分析部機背後嘅 DNS 訪問要求,從而揭發呢件事。內置嘅惡意軟件 CopyCat 係 2017 年嘅產物,過往戰積係感染過 1400 萬部 Android 裝置,賺咗約 150 萬美元,而今次呢個版本嘅第一階段攻擊,即使上載上病毒資料庫 VirusTotal,亦發現喺 61 款防毒軟件引擎中,只得 13 款發現到惡意活動。
由於呢類產品有好多代工生產嘅產品,所以 Daniel 話好難估計到底市面上有幾多款產品有相同問題。建議大家如果想買機頂盒,最好都係幫襯返 Chromecast、Apple TV 好啲。