Em TVs Supra Smart Cloud vulnerabilidade (CVE-2019-12477) que permite substituir o programa visualizado atualmente pelo conteúdo do invasor. Como exemplo, é demonstrada a saída de um aviso fictício sobre uma situação de emergência.
Para um ataque, basta enviar uma solicitação de rede especialmente criada que não exija autenticação. Em particular, você pode acessar o manipulador “/remote/media_control?action=setUri&uri=” especificando a URL do arquivo m3u8 com parâmetros de vídeo, por exemplo “http://192.168.1.155/remote/media_control?action=setUri&uri= http://attacker .com/fake_broadcast_message.m3u8.”
Na maioria dos casos, o acesso ao endereço IP da TV é limitado à rede interna, mas como a solicitação é enviada via HTTP, é possível utilizar métodos para acessar recursos internos quando o usuário abre uma página externa especialmente projetada (por exemplo, em sob a forma de um pedido de imagem ou usando o ).
Fonte: opennet.ru