Уязвимость в смарт-телевизорах SUPRA позволяет выводить на экран любое видео

в

Исследователь безопасности Дхираж Мишра (Dhiraj Mishra) обнаружил в смарт-телевизорах от российской компании SUPRA уязвимость, позволяющую захватывать контроль над экраном и показывать на нем любое видео.

Под брендом SUPRA продается сравнительно недорогое аудио/видеооборудование, бытовая техника и автомобильная электроника. Большая часть продукции реализуется через российские, китайские и арабские сайты электронной коммерции.

Обнаруженная исследователем уязвимость (CVE-2019-12477) затрагивает телевизоры Supra Smart Cloud TV (а именно – функцию «openLiveURL») и существует из-за отсутствия механизма аутентификации и управления сеансом. С ее помощью локальный атакующий может внедрить в текущую видеотрансляцию видеофайл по своему усмотрению без какой-либо аутентификации.

Исследователь разработал PoC-эксплоит, позволивший ему вывести на экран телевизора оповещение о чрезвычайной ситуации во время трансляции речи Стива Джобса. Внедрить поддельное уведомление в видеотрансляцию Мишре удалось с помощью одной лишь PoC-ссылки и браузера.

Для осуществления атаки у злоумышленника должен быть доступ к домашней сети Wi-Fi жертвы. Тем не менее, наличие разнообразных уязвимостей в маршрутизаторах и других устройствах «Интернета вещей» может существенно упростить задачу атакующему.

В настоящее время уязвимость остается неисправленной. Пользователям Supra Smart Cloud TV настоятельно рекомендуется усилить безопасность своих домашних сетей Wi-Fi.

Вам, возможно, понравится
HEVC: высокоэффективное видеокодирование
Виктор Чеканов, Megogo: «Борьба видеосервисов за долю рынка уже началась»
Телеканалы договорились о порядке трансляции матчей ЧМ-2018
Ирина Грандель (ivi) о настоящем и будущем российского OTT-рынка
Уроки OTT-революции Саймона Труделла из NAGRA
Медиаизмерения 2020: итоги клиентской конференции Mediascope
Второй экран: незанятая ниша для интерактивного телевидения.
Есть ли будущее у 4K и HDR?