Следующая новость
Предыдущая новость

Уязвимость в телевизорах Supra позволяет транслировать на экран любое видео

04.06.2019 23:03
Уязвимость в телевизорах Supra позволяет транслировать на экран любое видео

Рекомендуем почитать:

Xakep #242. Фаззинг

  • Содержание выпуска
  • Подписка на «Хакер»

Независимый исследователь Дхирадж Мишра (Dhiraj Mishra) обнаружил уязвимость типа remote file inclusion в «умных» телевизорах Supra. Баг получил идентификатор CVE-2019-12477 и позволяет злоумышленнику, находящемуся в той же сети Wi-Fi, что и уязвимое устройство, транслировать на экран ТВ любые ролики без какой-либо аутентификации.

Уязвимость в телевизорах Supra позволяет транслировать на экран любое видео

Мишра пишет, что проблема связана с функцией openLiveURL в Supra Smart Cloud TV, а также недостатками механизмов аутентификации и менеджмента сессий. Как видно на PoC выше, баг позволяет атакующему внедрить произвольный файл и вывести на экран любое видео. Видеодемонстрация атаки показывает, что исследователь прервал обычную передачу на ТВ (речь Стива Джобса) фальшивым оповещением о чрезвычайной ситуации.

К счастью, атака ограничена тем, что злоумышленник должен находиться в той же сети Wi-Fi, что и его жертва. Однако исследователь отмечает, что учитывая все возрастающее количество уязвимых маршрутизаторов и других IoT-девайсов, найденную им уязвимость не так уж сложно эксплуатировать и удаленно.

Мишра пишет, что хотя уязвимости был присвоен идентификатор CVE, она вряд ли будет исправлена. В итоге владельцам Supra Smart Cloud TV можно посоветовать лишь позаботиться о безопасности своей сети Wi-Fi.

Источник

Последние новости