Op Supra Smart Cloud TVs Schwachstelle (CVE-2019-12477) déi Iech erlaabt den aktuell gekuckte Programm mam Inhalt vum Ugräifer ze ersetzen. Als Beispill gëtt d'Ausgab vun enger fiktiver Warnung iwwer eng Noutsituatioun demonstréiert.
Fir en Attack ass et genuch fir eng speziell erstallt Netzwierk Ufro ze schécken déi keng Authentifikatioun erfuerdert. Besonnesch kënnt Dir op den "/remote/media_control?action=setUri&uri=" Handler zougräifen andeems Dir d'URL vun der m3u8 Datei mat Videoparameter spezifizéiert, zum Beispill "http://192.168.1.155/remote/media_control?action=setUri&uri= http://attacker .com/fake_broadcast_message.m3u8.
Am meeschte Fäll ass den Zougang zu der IP Adress vum Fernseh op dat internt Netzwierk limitéiert, awer well d'Ufro iwwer HTTP geschéckt gëtt, ass et méiglech Methoden ze benotzen fir Zougang zu internen Ressourcen ze benotzen wann de Benotzer eng speziell entwéckelt extern Säit opmaacht (zum Beispill ënner d'Verkleedung vun engem Bild Ufro oder benotzt der ).
Source: opennet.ru