Умные телевизоры не только оглупляют — но еще и шпионят и грабят вас

Опубликовано at 13:36
36 0

Смарт-телевизоры Sony Bravia практически представляют собой черное зеркало, сквозь которое невидимый злоумышленник видит всю вашу жизнь. И не только видит, но и может на нее повлиять! Самым активным образом.

Исследователи из Fortinet обнаружили три опасные уязвимости в смарт-телевизорах Sony Bravia. Как сообщают эксперты, наиболее серьезной является уязвимость с кодовым названием брешь CVE-2018-16593 в приложении Photo Sharing Plus. Используя эту дыру, хакер способен, используя смартфон или планшет, просматривать и копировать фотографии, отображаемые на экране телевизора. Данная уязвимость связана с переполнением буфера, возникающем при обработке имен загружаемых медиафайлов.

Но и это еще не предел. Как утверждают специалисты по кибербезопасности, данную критическую ошибку, потенциально можно использовать для внедрения команд. То есть, если злоумышленнику удалось войти в ту же беспроводную сеть, в которой находится умный телевизор, он получит возможность удаленно выполнить любой код с правами root.

И в конечном итоге такой атаки некогда умный телевизор Bravia может оказаться приобщенным к IoT-ботнету и/или будет использоваться как плацдарм для проведения атак на другие устройства в той же сети. Или майнить биткоины для неизвестного.

Две другие бреши, которые эксперты обнаружили в том же умном телевизоре, характеризуются, как чуть менее опасные. Технически они также привязаны к Photo Sharing Plus. Уязвимость CVE-2018-16595 относится к типу «переполнение буфера в стеке». Она возникла из-за неадекватной проверки размера данных, вводимых пользователем, и грозит сбоем приложения.

Баг выхода за пределы каталога ресурса (CVE-2018-16594) высокой степени опасности вызван некорректностью обработки имен файлов при их загрузке по URL. Его использование, по словам экспертов, позволяет просмотреть всю файловую систему, нужно лишь загрузить какой-нибудь файл со специально присвоенным именем — например, ../../.

Наличие перечисленных уязвимостей подтверждено для Bravia моделей R5C, WD75, WD65, XE70, XF70, WE75, WE6 и WF6. В настоящее время патчи уже раздаются OTA, их установка требует согласия пользователя и подключения к сети; если настройки дефолтные, обновление произойдет автоматически.

По данным аналитической компании GfK, в 2017 году больше половины продаж телевизоров в США пришлось на смарт-установки. У таких телевизоров хорошие высокопроизводительные графические процессоры, отлично подходящие для майнинга криптовалюты в составе ботнета. Ранее в начале года некоммерческая организация Consumer Reports уже ппубликовала результаты тестирования умных телевизоров, популярных в США. Как оказалось, многие из них, в том числе Samsung и TCL, содержат уязвимость, привязанную к стриминговой платформе сторонней разработки — Roku. Проблема заключается в отсутствии какой-либо защиты API, включенного по умолчанию. Таким образом, теоретически без каких-либо специальных знаний можно перехватить контроль над телевизором и удаленно переключать каналы, включать звук или запускать любые видеоролики с YouTube.

Подписываемся, следим @CyberAgency

Related Post

Расхитительница «телег». Досье на судью, запретившую мессенджер Дурова

Опубликовано - 13.04.2018 0
37-летняя судья Юлия Михайловна Смолина специализируется на гражданских делах. Последние три десятка дел связаны с вьетнамцами. На сайте “Суды России”…

Новый алгоритм Роскомнадзора заблокировал весь интернет через провайдера «Транстелеком»

Опубликовано - 15.03.2018 0
Перед выборами Роскомнадзор разошёлся. Вчера вечером провайдер «Транстелеком» по требованию Роскомнадзора заблокировал для своих абонентов все адреса в Интернете по…

ИИ на госслужбе

Опубликовано - 04.04.2017 0
Новая Зеландия будет использовать технологии искусственного интеллекта для повышения качества сервиса и цифровой идентификации пользователей, сообщили в Департаменте внутренних дел…

Добавить комментарий