Видеосигнал в умных телевизорах Supra можно заменить произвольным роликом

Опубликовано at 13:46
260 0

Очередной баг в умных телевизорах, в этот раз популярной в СНГ марки SUPRA. Баг весьма серьезный с практической точки зрения: локальный атакующий может перехватывать видеотрансляцию и подменять ее видеофайлами по своему усмотрению.

По словам исследователя безопасности Дхиража Мишры, уязвимость CVE-2019-12477 затрагивает телевизоры Supra Smart Cloud TV (а именно – функцию «openLiveURL») и существует из-за отсутствия механизма аутентификации и управления сеансом. На практике это значит, что находящийся в той же Wi-Fi сети локальный атакующий может внедрить в текущую видеотрансляцию ролик по своему усмотрению без какой-либо аутентификации.

Мишра разработал PoC-эксплоит, позволивший ему вывести на экран телевизора оповещение о чрезвычайной ситуации во время трансляции речи Стива Джобса.

Хотя формальное присутствие хакера в Wi-Fi сети, к которой подключен телевизор, необходимо, оно вовсе не затрудняет взлом  – наличие разнообразных уязвимостей в маршрутизаторах и других умных устройствах значительно упростят атакующему эту задачу.

В настоящее время уязвимость остается неисправленной, и будет ли она исправлена, пока не ясно.

Читайте также на АКБ другие материалы про взлом умных телевизоров:

…«Умные» телевизоры Sony Smart TV, работающие на платформе Android, содержат две уязвимости, позволяющие получить доступ к Wi-Fi и мультимедийному контенту, содержащемуся на устройстве. Проблемы затрагивают в том числе флагманскую линейку Bravia. Ладно, а что если использовать пиратскую телеприставку? Эксперты организации Digital Citizens Alliance (DCA) и компании Dark Wolfe Consulting, изучившие устройства для просмотра пиратского видеоконтента, заявляют, что будет еще хуже. Из всех проанализированных экспертами устройств, позволяющих бесплатно просматривать платные сериалы через пиратские приложения, 40% оказались заражены вредоносным ПО.

…Исследователи из Fortinet обнаружили три опасные уязвимости в смарт-телевизорах Sony Bravia. Как сообщают эксперты, наиболее серьезной является уязвимость с кодовым названием брешь CVE-2018-16593 в приложении Photo Sharing Plus. Как утверждают специалисты по кибербезопасности, данную критическую ошибку, потенциально можно использовать для внедрения команд. То есть, если злоумышленнику удалось войти в ту же беспроводную сеть, в которой находится умный телевизор, он получит возможность удаленно выполнить любой код с правами root.

…Аналитическая фирма DoubleVerify сообщила, что ее сотрудникам удалось вычленить и распознать новый, ранее не известный ботнет, который нацелен исключительно на подключенные к интернету телевизоры (CTV) или умные ТВ. Ботнет с такой специфической целью фиксируется, по словам экспертов, впервые.

Подписываемся, следим @CyberAgency

Related Post

Google обвинили в шпионаже за миллионами айфонов

Опубликовано - 23.05.2018 0
Высокий суд Англии и Уэльса рассмотрит коллективный иск против Google по обвинению в незаконной слежке и сборе персональных данных. Предполагается, что компания похитила личные данные и…

Уязвимость Wi-Fi в аэропортах или взлом с ветерком

Опубликовано - 10.08.2018 0
Компания Coronet, которая занимается киберзащитой облачных систем, проанализировала американские аэропорты с точки зрения кибербезопасности. По мнению экспертов, аэропорты непреднамеренно, но…

Рыбка на $12,5 млрд: число кибератак на топ-менеджеров удвоилось

Опубликовано - 19.07.2018 0
Хакеры начинают ценить свое время и экономить усилия, переключаясь на аккаунты высокопоставленных руководителей коммерческих фирм. Таким образом злоумышленники, минуя промежуточные…