🥇Уязвимость в умных телевизорах Supra, позволяющая вывести фиктивное видео

В телевизорах Supra Smart Cloud TV ກໍານົດ уязвимость (CVE-2019-12477), позволяющая подменить просматриваемую в данный момент передачу на контент атакующего. В качестве примера продемонстрирован вывод фиктивного предупреждения о возникновении чрезвычайной ситуации.

Для атаки достаточно отправить специально оформленный сетевой запрос, не требующий аутентификации. В частности, можно обратиться к обработчику «/remote/media_control?action=setUri&uri=» указав URL m3u8-файла с параметрами видео, например «http://192.168.1.155/remote/media_control?action=setUri&uri=http://attacker.com/fake_broadcast_message.m3u8».

В большинстве случаев доступ к IP-адресу телевизора ограничен внутренней сетью, но так как запрос отправляется через HTTP возможно применение методов для обращения к внутренним ресурсам при открытии пользователем специально оформленной внешней страницы (например, под видом запроса картинки или используя метод DNS Rebinding).

ແຫຼ່ງຂໍ້ມູນ: opennet.ru

ຊ່ອງໂຫວ່ໃນໂທລະພາບອັດສະລິຍະ Supra ທີ່ອະນຸຍາດໃຫ້ທ່ານສະແດງວິດີໂອປອມ

ເພີ່ມຄວາມຄິດເຫັນ Отменитьответ