Злоумышленник может перехватывать видеотрансляцию и подменять ее видеофайлами по своему усмотрению
Исследователь безопасности Дирадж Мишра (Dhiraj Mishra) обнаружил в смарт-телевизорах торговой марки SUPRA уязвимость, позволяющую захватывать контроль над экраном и показывать на нем любое видео.
Обнаруженная исследователем уязвимость (CVE-2019-12477) затрагивает телевизоры Supra Smart Cloud TV (а именно — функцию «openLiveURL») и существует из-за отсутствия механизма аутентификации и управления сеансом.
С ее помощью локальный атакующий может внедрить в текущую видеотрансляцию видеофайл по своему усмотрению без какой-либо аутентификации.
Для осуществления атаки у злоумышленника должен быть доступ к домашней сети Wi-Fi жертвы. Тем не менее, наличие разнообразных уязвимостей в маршрутизаторах и других устройствах «Интернета вещей» может существенно упростить задачу атакующему.
В настоящее время уязвимость остается неисправленной. Пользователям Supra Smart Cloud TV настоятельно рекомендуется усилить безопасность своих домашних сетей Wi-Fi.
Комментарии (4)
А ещё во всех телевизорах есть уязвимость - ими можно управлять универсальным пультом ДУ. А также "локальный атакующий" может просто отключить его)).
Ну и какую выгоду получит этот злоумышленник? Данных то там нет, украсть ничего он не сможет.
Такая дыра подойдет для вставки ,например, рекламы какого нибудь продукта.
Ага))) это у этих рекламистов должен быть доступ ко всем роутерам жертв