运营商ITV 机顶盒安全现状及安全防护探讨

2020-01-02 09:44:33郑柳清

郑柳清，张欣

（中国电信股份有限公司海南分公司，海口 570216）

1 机顶盒现状

运营商ITV 机顶盒主要由华为、中兴公司提供，其他还有烽火、长虹、海信、创维、大亚和UT。当前主流的ITV 机顶盒均为ARM 架构，较少见到MIPS 架构。常见的是四核Cortex A7架构（中低端）和四核Cortex A9架构（高端）。常见的芯片方案有瑞芯微、海思、全志、晶晨和联发科等。

基本硬件方面CPU 为四核1.5GHZ 及以上；RAM为1G byte 及以上，32bit DDR3 及以上；FLASH 为8G byte 及以上，至少为EMMC；GPU 为四核以上。

接口硬件方面要求USB2.0*2，SD 卡接口，MINI CVBS，HDMI 1.4a，至少一个RJ45 10/100BaseT 网络接口，内置无线网络支持802.11b/g/n。

操作系统一般为Android 4.4 及以上版本；网络接入支持PPPOE、DHCP 和固定IP 接入；网络协议支持HLS、DLNA 和IPV6；页面方面支持HTML5 和CSS3的标清/高清EPG。

视频解码能力方面支持1080P 的H.264 高清视频解码；4K 规格的H.265 超高清解码；1080P 的H.264编码3D 视频解码；互联网及本地视频支持MPEG1、MPEG2、MPEG4 等，封装格式支持TS、MP4、MKV、AVI 等。

ARM/Android 架构的设备，由于Android 平台各层级大量复用不同代码，经常有各类漏洞报道，而且高危漏洞较多；而ARM 方面由于是硬件架构，一旦存在漏洞基本都是高危。因此，ITV 机顶盒操作系统和组件的漏洞是非常严重的。

此类安全风险存在于两个方面。一个是局方出于机顶盒管理、视频质量分析和用户行为分析的目的，在机顶盒内预置的第三方软件，可能存在风险。另外一个是用户自行安装的Android 应用软件，存在安全漏洞或被嵌入木马。

厂家出厂默认配置中，或者是局方采用了一些模版化的配置后，留下的安全风险。例如，缺省的登陆密码，缺省的SNMP community string 等。

ITV 机顶盒设备在正常的业务端口和管理端口外，可能无意开放一些不必要的SSH、Web 或FTP 类端口。这些服务端口会成为设备的安全隐患。

由于ITV 机顶盒在工作过程中要与多个周边配套系统进行交互，如果周边系统受到攻击利用，则会导致机顶盒的安全受到威胁。

默认关闭串口调试功能，需要特定的串口板才能打开并输出命令，并且从软件层面禁止输入命令。

使用芯片级高安功能，高安秘钥保存到芯片制定分区，如果软件没有使用正确高安签名，将没法启动，防止被刷机到非厂家正式的版本。

使用BGA 封装的主芯片、内存、FLASH，将防止里面的用户信息、视频内容等被外部设备截取。

厂家对固件的写入和升级过程需要严格控制，对检测合格的固件发放数字证书，写入固件之前需要相应的数字证书检测机制，其他禁止写入。

严格执行“代码数据分离原则”，避免把敏感数据固化在操作系统之中。

启用操作系统的安全沙箱机制，做到系统文件、资源及内核都与用户应用程序相隔离。

严格管理USB 接口或SD 卡接口权限，默认禁止通过USB 或SD 卡安装各种应用。

所有安装应用使用统一签名，非正确签名的应用不允许安装和获得 root 权限。

禁用机顶盒自带浏览器或应用商城等软件。

数据传输过程存在被截获或被篡改的风险，涉及用户信息的通信应采用端到端的加密方式，保证数据的保密性。

通过消息认证码MAC（Message Authentication Code）来保证数据的真实性和完整性。对加密传输的数据和明文传输的数据都可以进行 MAC 校验。

基于对机顶盒安全现状和存在风险的详细分析，实施针对性的网络安全防护，是ITV 运维的一个重要部分。通过落实硬件安全、系统安全、应用安全和数据安全方面的防护措施，大部分终端机顶盒的安全问题都能够解决，确保ITV 业务的稳定运营和快速发展。