運行 Android 作業系統的串流棒、電視盒或播放器的好處顯而易見,那就是 Android 是開放的,使用戶可以安裝官方媒體應用商店中沒有供應的應用程式。使用任何 Android 視聽裝置都能發現一些有趣的串流娛樂新途徑,更不用說各種客製化和 Web 開發了。坊間各種價格帶的 Android 電視盒五花八門,你可能會選擇功能類似但價格更便宜的替代品,然而你也不得不考慮到數位安全的問題。Android TV 框架附帶的自製軟體安裝簡單性不只帶來便利,同時也是一把雙面刃。
購買便宜的 Android 電視盒之前請三思
2023 年末,一家名為 Human Security 的網路安全公司發表了一份關於低階 Android 串流電視盒調查的詳細報告。此前,網路安全專家 Daniel Milisic 在今年稍早進行了一項研究,他在購買的一款開箱即用廉價 Android 播放器上發現了一套惡意軟體。
根據 Human Security 當時與 WIRED 分享的調查結果,大約 200 種不同型號的低階 Android 電視盒感染了某種惡意軟體,這些惡意軟體可能在製造和銷售之間的某個時間點被添加到裝置的韌體中。所有這些低階產品的價格通常低於 50 美元,並在網上和實體店面出售。這些設備的名稱由看似隨機的字母和數字組成,例如 MXQ 或 T95Z,並且要嘛完全沒有品牌,要嘛貼有晦澀難懂、聽起來很奇怪的公司名稱,但卻沒有人聽說過。另外值得注意的是,除了各種低階 Android 盒子外,Human Security 還在一款非品牌 Android 平板電腦上發現了類似的安全漏洞,這表明這些不正當行為比你所想的普遍。
這項研究發表後,Google 已經努力地刪除和製造這些受感染電視和公司相關的應用程式,不幸的是,受惡意軟體侵擾的硬體是眾所周知的多頭蛇,砍到一個頭還會有其他的頭來取代。儘管安全研究單位揭示了許多問題,但仍存在許多不良行為者想方設法地找漏洞。
這些設備可能在你的帳戶和網路中開後門
在 Human Security 研究的裝置中,發現了兩種主要的惡意軟體:Badbox 和 Peachpit。這兩者都可以秘密地植入到 Android 電視盒的韌體中,開始對你的數位生活造成嚴重破壞。
Badbox 實際上是一個由受感染設備組成的全球網路,透過特定的惡意軟體連接在一起。當你使用感染了 Badbox 的裝置時會悄悄地連結到該網路,此時不良行為者可以使用你連接的網路和帳戶來達到各種邪惡目的,包括存取以秘密代理程式出售的家庭網路、使用你的網路為 Gmail 和 WhatsApp 等服務建立虛假帳戶,以及將程式碼遠端安裝到你家中連接至網路的其他裝置。基本上,它把你的家庭網路變成一個巨大邪惡機器上的一個齒輪。
Peachpit 的運作方式與 Badbox 類似,儘管其明確目的是廣告詐欺。 Peachpit 利用你的網路以及低品質、受損的 Android 應用程式請求大量廣告瀏覽量,欺騙你的裝置憑證來顯示廣告以快速獲利。 Human Security 推測 Peachpit 產生的廣告收入可能為 Badbox 的營運提供資金,儘管這只是一個推理。
這些只是使用低階 Android 電視盒時可能發生的兩個範例,無論超便宜的科技產品有多麼誘人,請記住,務必堅持使用值得信賴的知名品牌,至少為了品牌信譽,他們不敢這麼幹。