Sikkerhed forsker Dhiraj Mishra lige opdaget en sikkerhedsbrist, CVE-2019-12.477, i SUPRA smarte tv-mærke.
Tilsyneladende, Supra Smart Cloud TV giver fjernfil optagelse i openLiveURL funktionen, som kunne gøre det muligt for en lokal angriber at udsende falske video uden nogen godkendelse ved hjælp af / fjernbetjening / media_control?action = sæt&uri = URI.
Mere om CVE-2019-12.477
SUPRA er et russisk firma, der fremstiller audio-video-udstyr, husholdningsapparater og bil elektronik. Det meste af teknologien bliver distribueret via e-handel hjemmesider baseret i Rusland, Porcelæn, og UAE.
I sin rapport, forskeren delte at han udnyttet med succes `openLiveURL()`Som tillader en lokal angriber at udsende video på supra smarte cloud-tv. "Jeg fandt denne sårbarhed først ved kildekode gennemgang og derefter ved at kravle ansøgningen og læse hver anmodning hjalp mig til at udløse denne sårbarhed,”Mishra sagde.
At udløse sårbarheden, en hacker ville kun nødt til at sende en særligt udformet anmodning til følgende webadresse:
https://192.168.1.155/fjernbetjening / media_control?action = sæt&uri = https://attacker.com/fake_broadcast_message.m3u8.
Selv om ovenstående omtale webadresse tager (.M3U8) format baseret video. Vi kan bruge `krølle -v -X GET` at sende en sådan anmodning, typisk er det en Uaut fjernfil inklusion. En hacker kunne udsende en video uden godkendelse, værste fald hacker kan udnytte denne sårbarhed til at udsende en falsk nødbesked (Skræmmende ret?).
Problemet her er, at sårbarheden forbliver unpatched, og det er meget sandsynligt, det vil forblive på denne måde. Forskeren fandt ikke nogen måde at kontakte leverandøren for at rapportere sine resultater. Der er også en proof-of-concept-video afslører en vellykket udnyttelse. Videoen viser, hvordan en tale af Steve Jobs pludselig erstattet med en hackers falsk “Emergency Alert Message”.
Sårbarheden er blevet tildelt et CVE-id, CVE-2019-12.477 men der er ingen oplysninger om det nogensinde vil blive adresser. Så, hvad kan ejere af SUPRA Smart Cloud TV gør? Det korte svar er at holde det trådløse netværk så sikkert som muligt ved hjælp af en stærk adgangskode og en firewall for alle intelligente enheder. Fordi, som vi er bevist hver dag, intelligente hjem er ikke så smart overhovedet.
Et godt eksempel på, hvor nemt det er at hacke en smart hjem kommer fra Avast forskere. I august sidste år, de advarede om MQTT protokol (Message Queuing telemetri Transport) hvilken, hvis fejlkonfigureret, kunne give hackere fuld adgang til en smart hjem. Som et resultat af denne sikkerhed smuthul, hjemmet kunne manipuleres på mange måder, herunder dens underholdende og voice-systemer, forskellige husholdningsapparater, og smarte døre.