Η Digea Ψηφιακός Πάροχος Α.Ε. είναι μια εταιρεία που έχει συσταθεί από τα ιδιωτικά τηλεοπτικά κανάλια εθνικής εμβέλειας ALPHA, ALTER, ANTΕΝΝΑ, ΜΑΚΕΔΟΝΙΑ TV, MEGA, ΣΚΑΪ και STAR.
Στις 7 Φεβρουαρίου του 2014 ανακηρύχτηκε υπερθεματιστής για το σύνολο των δικαιωμάτων χρήσης ραδιοσυχνοτήτων εθνικής και περιφερειακής κάλυψης. Στόχος της εταιρείας ήταν να κατασκευάσει το επίγειο ψηφιακό δίκτυο της χώρας και να ολοκληρώσει τη μετάβαση από το αναλογικό σε ψηφιακό τηλεοπτικό σήμα.
Μέχρι το τέλος του 2013 η εταιρεία ενεργοποίησε 13 κέντρα εκπομπής ανά την Ελλάδα, δίνοντας πρόσβαση στο ελεύθερο επίγειο ψηφιακό τηλεοπτικό σήμα σε πάνω από το 70% του πληθυσμού της χώρας.
Με την ολοκλήρωση της επίγειας ψηφιακής μετάβασης, ενεργοποιήθηκαν 156 κέντρα εκπομπής, που καλύπτουν με ψηφιακό σήμα το 95% του ελληνικού πληθυσμού.
Πραγματικά εντυπωσιακά τα επιτεύγματα της εταιρείας, αλλά σύμφωνα με τον γνωστό μας ερευνητή Nyo(GHS), η επίσημη ιστοσελίδα της Digea επιτρέπει σε κακόβουλους ή μη κακόβουλους χρήστες Cross-site scripting ή XSS.
Με τον όρο Cross-site scripting ή XSS αναφερόμαστε στην εκμετάλλευση διάφορων ευπαθειών (vulnerabilities) υπολογιστικών συστημάτων με εισαγωγή κώδικα HTML ή Javascript σε κάποια ιστοσελίδα. Κάποιος κακόβουλος χρήστης, θα μπορούσε να εισάγει κώδικα σε μια ιστοσελίδα, μέσω ενός κειμένου εισόδου για παράδειγμα, το οποίο αφού δεν θα φιλτραριζόταν από τη σελίδα σωστά, θα μπορούσε να προκαλέσει προβλήματα στον διαχειριστή ή επισκέπτη του site.
Παράδειγμα:
http://www.example.com/index.html?name=
Ο κακόβουλος χρήστης θα μπορούσε να:
Υποκλέψει κωδικούς λογαριασμών και προσωπικά δεδομένα
Αλλάξει τις ρυθμίσεις του ιστοχώρου
Υποκλέψει cookies
Να ανεβάσει ψευδείς διαφημίσεις, μέσω κάποιου συνδέσμου
Η ευπάθεια αναφέρεται στην αδυναμία του συστήματος να φιλτράρει και να απορρίψει τυχόν επιβλαβείς εισόδους.
Δείτε τα screenshots που μας έστειλε ο Nyo
Σύμφωνα με τον ερευνητή δημοσιοποίησε το XSS σαν απάντηση στο βίντεο “MEGA – Η DIGEΑ απειλεί με ΜΑΥΡΟ!”
Το βίντεο αναφέρει ότι “σύμφωνα με πληροφορίες το Διοικητικό Συμβούλιο της Digea αποφάσισε να προχωρήσει σε αποδυνάμωση του σήματος του σταθμού παρά το γεγονός ότι είναι σε εξέλιξη διαπραγματεύσεις μεταξύ μετόχων και τραπεζών για να βρεθεί λύση. Αυτό σημαίνει ότι ή θα προβάλλεται «σπασμένη» εικόνα με pixels, είτε «παγωμένη» εικόνα και να ακούγεται μόνο ήχος.”
https://www.youtube.com/watch?v=FCw3mzqefjg
Αναφέρει επίσης ότι η δημοσιοποίηση του XSS δεν έγινε για να υποστηρίξει κάποιο ιδιωτικό κανάλι αλλά τον τελικό χρήστη-τηλεθεατή.
Το XSS επηρεάζει όλη τη σελίδα μέσω της javascript και μπορεί να την παραμορφώσει πλήρως.
To SecNews.gr είναι στη διάθεση κάθε ενδιαφερόμενου από την διαχειριστική ομάδα της σελίδας του Digea.gr για λεπτομέρειες της ευπάθειας.