Als televisors Supra Smart Cloud vulnerabilitat (CVE-2019-12477) que permet substituir el programa visualitzat actualment pel contingut de l'atacant. Com a exemple, es demostra la sortida d'un avís fictici sobre una situació d'emergència.
Per a un atac, n'hi ha prou amb enviar una sol·licitud de xarxa especialment dissenyada que no requereix autenticació. En particular, podeu accedir al controlador “/remote/media_control?action=setUri&uri=” especificant l'URL del fitxer m3u8 amb paràmetres de vídeo, per exemple, “http://192.168.1.155/remote/media_control?action=setUri&uri= http://attacker .com/fake_broadcast_message.m3u8.”
En la majoria dels casos, l'accés a l'adreça IP del televisor es limita a la xarxa interna, però com que la sol·licitud s'envia mitjançant HTTP, és possible utilitzar mètodes per accedir als recursos interns quan l'usuari obre una pàgina externa especialment dissenyada (per exemple, sota l'aparença d'una sol·licitud d'imatge o utilitzant el ).
Font: opennet.ru