Supra Smart Cloud televizorlarında hazırda baxılan proqramı təcavüzkarın məzmunu ilə əvəz etməyə imkan verən zəiflik (CVE-2019-12477). Nümunə olaraq, fövqəladə vəziyyət haqqında uydurma xəbərdarlıq çıxışı göstərilir.
Hücum üçün autentifikasiya tələb etməyən xüsusi hazırlanmış şəbəkə sorğusu göndərmək kifayətdir. Xüsusilə, m3u8 faylının URL-ni video parametrləri ilə göstərərək “/remote/media_control?action=setUri&uri=” işləyicisinə daxil ola bilərsiniz, məsələn, “http://192.168.1.155/remote/media_control?action=setUri&uri= http://attacker .com/fake_broadcast_message.m3u8.”
Əksər hallarda TV-nin İP ünvanına giriş daxili şəbəkə ilə məhdudlaşır, lakin sorğu HTTP vasitəsilə göndərildiyi üçün istifadəçi xüsusi hazırlanmış xarici səhifəni açdıqda (məsələn, aşağıda bir şəkil sorğu və ya istifadə edərək maskası ).
Mənbə: opennet.ru