SEI/ANATEL - 9580113

Relatório Técnico Final - Estudos de engenharia reversa em TV Boxes - Ciclo 2022.

Os equipamentos para telecomunicações requerem homologação da Anatel para serem comercializados e utilizados no Brasil. O processo de avaliação da conformidade e homologação tem como um dos seus princípios a proteção e segurança dos usuários dos produtos de telecomunicações.

Para que um produto possa ser certificado são exigidos testes de laboratório para avaliação da segurança dos equipamentos, como sua proteção contra instabilidades nas redes de energia elétrica, proteção contra vazamento de líquidos tóxicos ou superaquecimento.

Além disso, é avaliado o cumprimento de requisitos de desempenho para assegurar a qualidade das redes de telecomunicações. Também são testadas as características de emissões de ondas de rádio para que outros equipamentos utilizados por outros usuários não sejam interferidos.

Quando o certificado de conformidade é homologado pela Agência, o produto pode receber o “Selo Anatel”.

Produtos não homologados são capazes de acessar ilegalmente conteúdo protegido por direitos autorais, o que é crime. Tanto a comercialização como a utilização de produtos para telecomunicações não homologados são passíveis de sanções administrativas, que podem ir de advertência a multa.

Para garantir a segurança dos usuários e a qualidade dos serviços, a Anatel tem alocado grande esforço de fiscalização para combater a comercialização dos produtos para telecomunicações não homologados, tanto por meio de ações autônomas como em parcerias com outros órgãos da Administração Pública - os Ministérios da Justiça e da Economia, a Receita Federal, as Polícias Federal e Rodoviária Federal, entre outros. Nos últimos anos foram retirados do mercado centenas de milhares de produtos irregulares.

A Consulta Pública nº 61, sobre requisitos de avaliação da conformidade de equipamentos do tipo Smart TV Box, recebeu contribuições até 20 de novembro de 2022. A proposta consiste na criação de uma classificação de produto específica, denominada Smart TV Box e a inclusão de procedimentos para a verificação da presença de funcionalidades voltadas à violação da legislação brasileira de direitos autorais. O objetivo da proposta é de contribuir para a minimização da oferta de produtos que promovam o acesso informal a conteúdo audiovisual ilegal.

Para o ciclo de 2022, o Grupo de Trabalho (GT) realizou análise de vulnerabilidades nos modelos apontados como os mais populares. Foram utilizados equipamentos de TV Box disponíveis em centros de comércio popular e em Marketplaces, de modo a garantir que os dispositivos analisados estivessem nas mesmas condições experimentadas pelo usuário quando adquire um equipamento desse tipo.

Os resultados apresentados nesse relatório técnico foram obtidos através dos seguintes métodos:

Avaliação de publicações e documentações de órgãos e instituições que realizam análises de aspectos de segurança em TV Boxes;

Análise e avaliação de dispositivos TV Boxes por videoconferência, em conjunto com demonstrações de engenharia reversa de especialistas de instituições especializadas neste tipo de análise;

Monitoração de tráfego de rede, captura e análise dos fluxos de pacotes de dados dos dispositivos TV Boxes;

Identificação de vulnerabilidades, aplicativos nocivos e acessos suspeitos aos dispositivos TV Boxes; e

Realização de prova de conceito por meio de exploração de vulnerabilidades identificadas nos dispositivos TV Boxes, a partir dos quais foram invadidos outros equipamentos conectados à mesma rede local/WiFi.

Os estudos e avaliações conduzidos pela equipe técnica do grupo de trabalho constataram que dispositivos TV Boxes que não são homologados apresentam vulnerabilidades de segurança aos usuários, levando às seguintes conclusões específicas:

O sistema Android dos dispositivos TV Boxes analisados não é provido de mecanismos básicos de segurança.

As lojas de aplicativos utilizados pelos dispositivos TV Boxes analisados não estão sujeitas às políticas globais de segurança e controle necessário para segurança.

Os aplicativos utilizados frequentemente pelos dispositivos TV Boxes analisados possuem sinalização de arquivos maliciosos.

O tráfego de atualização para os aplicativos utilizados pelos dispositivos TV Boxes analisados não emprega criptografia suficiente para segurança.

Como consequência das conclusões específicas, apresentam-se as seguintes conclusões gerais:

Falhas de segurança foram detectadas no processo de atualização dos aplicativos por meio de lojas virtuais próprias, permitindo que toda a informação trocada seja capturada e modificada por um atacante mal-intencionado, possibilitando a instalação de aplicativos maliciosos no dispositivo. Essa vulnerabilidade, associada a outra em que o sistema operacional dos aparelhos admite que terceiros possam ter acesso irrestrito ao dispositivo com privilégios de administrador (conhecido como “root”), possibilita o controle total do dispositivo TV Box, incluindo o acesso a outros dispositivos que compartilham a mesma rede, tais como: computadores, televisores, roteadores, celulares, webcams, dentre outros, capturando dados e informações dos usuários, como registros financeiros, senhas, arquivos, fotos, etc.

A execução da prova de conceito comprovou que os equipamentos que estavam conectados na mesma rede do dispositivo TV Box podem ser invadidos e neles foi realizada a execução remota de aplicativos, ações de captura de tela estática (screenshot), visualização e gravação em tempo real da tela do usuário (screenshare), sem que o usuário pudesse perceber.

Diante dos resultados apurados pelo Grupo de Trabalho, além de não possuírem homologação, fato que pode levar os usuários a riscos físicos e operacionais, os TV Boxes e o ecossistema de acesso a conteúdo ilegal, que ao primeiro momento podem parecer vantajosos para alguns usuários, expõem dados, informações e recursos de uma população vítima de crimes cibernéticos. Dessa forma, a expansão do ecossistema de IPTV com uso de TV Boxes de origem duvidosa aumenta as ameaças, colocando em risco a administração pública e a sociedade.

O objetivo da divulgação desse relatório é elevar o nível de maturidade dos usuários de TV Boxes em segurança cibernética, permitindo a compreensão das ameaças e dos riscos da sua utilização, e possibilitando que façam o uso cada vez mais adequado e seguro dos serviços de telecomunicações.

Documento assinado eletronicamente por Jamilson Ramos Evangelista, Técnico em Regulação, em 22/12/2022, às 14:41, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

Documento assinado eletronicamente por Alexandro Duarte Coli, Técnico em Regulação, em 22/12/2022, às 14:42, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

Documento assinado eletronicamente por Eduardo Hiroshi Murakami, Coordenador de Processo, em 22/12/2022, às 14:44, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

Documento assinado eletronicamente por Carlos Valdir Henze Junior, Especialista em Regulação, em 22/12/2022, às 14:46, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

Documento assinado eletronicamente por Marcelo Lucena de Medeiros, Técnico em Regulação, em 22/12/2022, às 15:05, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

Documento assinado eletronicamente por Ailfran Moraes Martins, Especialista em Regulação, em 27/12/2022, às 08:45, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

Documento assinado eletronicamente por Mauricio Peroni, Gerente de Fiscalização, em 27/12/2022, às 11:16, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

A autenticidade deste documento pode ser conferida em http://www.anatel.gov.br/autenticidade, informando o código verificador 9580113 e o código CRC E2FC591F.