混合型电视是当下电视业（包括传统的广播电视业与新兴的互联网电视业等）的主流发展方向。本系列文章所聚焦的是混合型电视的一种形式——HbbTV。

为了实现传统电视广播网络/业务与现代IP宽带网络/业务的无缝融合，欧洲数字电视广播标准组织DVB与美国数字电视广播标准组织ATSC先后引入了HbbTV规范（2013年11月，ATSC发布了美洲混合电视标准，借鉴了HbbTV），期冀藉以实现广电运营商同时提供广播直播及可在大屏电视机上呈现的HTML等web相关内容。据笔者了解，目前，HbbTV在欧洲得到了很大规模的部署（主要是部署于地面数字电视网络，卫星数字电视亦有部署，有线电视网络则很少部署），而且由于ATSC引入了HbbTV规范，遵循HbbTV规范的无线电视也有望在北美得到大规模的部署。

另一方面，信息安全在当下备受重视！对于广电运营商而言，在确保网络安全的前提下保证信息安全是其义不容辞之责。

昨天早上刚上班，内蒙古广电网络公司李学明副总推荐给笔者一篇文章《智能电视标准HbbTV漏洞曝光 影响数百万电视》。经过讨论后认为，有进一步深入调查此事件的必要，比如HbbTV有哪些“漏洞”、哥伦比亚大学网络安全实验室认为针对这些“漏洞”可以分别如何攻击HbbTV、相关攻击技术及其原理、攻击的潜在影响、解决方法等。所以决定推出系列文章，本文是第一篇，主要交代相关背景。另外由于时间上与今天开幕的“2014亚洲移动通信博览会”及明天的“2014移动虚拟运营商峰会”相冲突，所以该系列的后续文章将在下周推出，敬请关注！

哥伦比亚大学网络安全实验室曾经对HbbTV规范及实际部署的HbbTV商用系统进行了详细分析，发现HbbTV这个混合电视系统并不安全，很容易遭受攻击，而且攻击成本很低（方式是本地无线射频插播。用于攻击的设备，硬件成本很低，而且使用的是开源软件，很容易量产）、非常不容易检测出攻击源（理论上无法溯源）。

按照哥大的说法，这些黑客技术的复杂度较低，而且实施成本很低、攻击效果较显著，所以它们很实用，实施起来也很现实（尤其是居住人口很密集的区域。在这样的区域，攻击者仅需450美元就可以完成对超过20000台应用了HbbTV的智能电视机的单次攻击）。

据悉，这种攻击方式除了上述的隐秘性高、性价比高等特点，还有一个最大的亮点：现在的绝大多数黑客对信息物理系统或物联网的攻击都是在数据网络侧实施的，以此来影响物理网络，而哥大对HbbTV的攻击则表明，通过物理网络（如数字电视广播网络）也可以攻击数据网络（如Internet）。即实现了攻击源及目标域的逆转。

正是电视广播网络的独特物理特性，使得成千上万的HbbTV终端及用户的其他联网终端可以很容易地遭到攻击——只要用户一打开HbbTV终端，而且被攻击时可以完全处于毫无察觉的状态。同样地，由于是通过电视广播网络发起的攻击，所以黑客无需使用源IP，这样就几乎无法溯源，隐秘性相当高。

哥大经过研究和实践后认为，HbbTV的整体架构使得其存在“漏洞”，通过这些漏洞，黑客可以让成千上万的HbbTV终端接入任何一个站点、盗用存储于HbbTV终端里的用户账号与密码（社交网络、电子邮件、电商平台等），也可以完成一些传统的攻击（比如：点击欺诈、插入评论、插入用于投票的垃圾邮件、在家庭网络内执行视频监视、发起本地或远程拒绝服务攻击、甚至可以控制家庭网络内的其他设备或HbbTV用户的其他远程设备），黑客甚至还可以直接控制HbbTV终端所呈现在电视屏幕上的内容、进行网络钓鱼和其他社会工程攻击（一般很难被人们发现——尤其是那些很信赖电视网络安全的用户）。

现在的智能电视机越来越“胖”，想将其变成人们数字家庭生活的中心，而且存储了大量的用户个人数据，越来越多的敏感型应用被应用于智能电视，哥大认为，这些将使得上述攻击更甚。

哥大相关研究人员曾将HbbTV的漏洞信息通告给DVB，而得到的答复却是，对于黑客而言，这种攻击方式的成本太高而且收益有限。

可见，哥大与DVB各执一词。那么，究竟谁的说法更有理？本系列后续文章将介绍哥伦比亚大学网络安全实验室所发现的HbbTV“漏洞”、所发明的可以攻击HbbTV的一系列技术及其原理、攻击的潜在影响、解决方法等，然后得出相关事件的一些启示。由于时间上与今天开幕的“2014亚洲移动通信博览会”及明天的“2014移动虚拟运营商峰会”相冲突，所以该系列的后续文章将在下周推出，敬请关注！