Видеосигнал в умных телевизорах Supra можно заменить произвольным роликом

Опубликовано at 13:46
147 0

Очередной баг в умных телевизорах, в этот раз популярной в СНГ марки SUPRA. Баг весьма серьезный с практической точки зрения: локальный атакующий может перехватывать видеотрансляцию и подменять ее видеофайлами по своему усмотрению.

По словам исследователя безопасности Дхиража Мишры, уязвимость CVE-2019-12477 затрагивает телевизоры Supra Smart Cloud TV (а именно – функцию «openLiveURL») и существует из-за отсутствия механизма аутентификации и управления сеансом. На практике это значит, что находящийся в той же Wi-Fi сети локальный атакующий может внедрить в текущую видеотрансляцию ролик по своему усмотрению без какой-либо аутентификации.

Мишра разработал PoC-эксплоит, позволивший ему вывести на экран телевизора оповещение о чрезвычайной ситуации во время трансляции речи Стива Джобса.

Хотя формальное присутствие хакера в Wi-Fi сети, к которой подключен телевизор, необходимо, оно вовсе не затрудняет взлом  – наличие разнообразных уязвимостей в маршрутизаторах и других умных устройствах значительно упростят атакующему эту задачу.

В настоящее время уязвимость остается неисправленной, и будет ли она исправлена, пока не ясно.

Читайте также на АКБ другие материалы про взлом умных телевизоров:

…«Умные» телевизоры Sony Smart TV, работающие на платформе Android, содержат две уязвимости, позволяющие получить доступ к Wi-Fi и мультимедийному контенту, содержащемуся на устройстве. Проблемы затрагивают в том числе флагманскую линейку Bravia. Ладно, а что если использовать пиратскую телеприставку? Эксперты организации Digital Citizens Alliance (DCA) и компании Dark Wolfe Consulting, изучившие устройства для просмотра пиратского видеоконтента, заявляют, что будет еще хуже. Из всех проанализированных экспертами устройств, позволяющих бесплатно просматривать платные сериалы через пиратские приложения, 40% оказались заражены вредоносным ПО.

…Исследователи из Fortinet обнаружили три опасные уязвимости в смарт-телевизорах Sony Bravia. Как сообщают эксперты, наиболее серьезной является уязвимость с кодовым названием брешь CVE-2018-16593 в приложении Photo Sharing Plus. Как утверждают специалисты по кибербезопасности, данную критическую ошибку, потенциально можно использовать для внедрения команд. То есть, если злоумышленнику удалось войти в ту же беспроводную сеть, в которой находится умный телевизор, он получит возможность удаленно выполнить любой код с правами root.

…Аналитическая фирма DoubleVerify сообщила, что ее сотрудникам удалось вычленить и распознать новый, ранее не известный ботнет, который нацелен исключительно на подключенные к интернету телевизоры (CTV) или умные ТВ. Ботнет с такой специфической целью фиксируется, по словам экспертов, впервые.

Подписываемся, следим @CyberAgency

Related Post

Отравляющий киберпар: Hexane ломают нефтегазовый сектор Ближнего Востока

Опубликовано - 02.08.2019 0
Исследователи безопасности из компании Dragos идентифицировали новую киберпреступную группировку, получившую название Hexane. Ее вредоносная деятельность направлена на системы промышленного контроля…