Der Sicherheitsforscher Dhiraj Mishra entdeckt gerade eine Sicherheitslücke, CVE-2019-12477, in der SUPRA Smart-TV-Marke.
Offenbar, Supra Smart-Cloud-TV ermöglicht Remote File Inclusion in der openLiveURL Funktion, die einen lokalen Angreifer ermöglichen, gefälschte Video ohne Authentifizierung mit / remote / media_control auszustrahlen?action = Set&uri = URI.
Mehr über CVE-2019-12477
SUPRA ist ein russisches Unternehmen, die Audio-Video-Geräte produziert, Haushaltsgeräte und Autoelektronik. Die meisten der Technologie wird durch E-Commerce-Websites mit Sitz in Russland verteilt, China, und die VAE.
In seinem Bericht, die Forscher geteilt dass er erfolgreich ausnutzt, `openLiveURL()`, Das es ein lokaler Angreifer ermöglicht Video auf supra Smart Wolke Fernsehen ausgestrahlt. "Ich fand diese Sicherheitsanfälligkeit zunächst von Quellcode Überprüfung und dann durch die Anwendung kriechen und jeden Wunsch zu lesen hat mir geholfen, diese Sicherheitsanfälligkeit auslösen,“Mishra sagte.
Zum Auslösen der Verwundbarkeit, müsste ein Angreifer nur eine speziell gestaltete Anforderung an die folgende URL schicken:
https://192.168.1.155/remote / media_control?action = Set&uri = https://attacker.com/fake_broadcast_message.m3u8.
Obwohl die oben erwähnt URL nimmt (.m3u8) Format basiertes Video. Wir können `kräuseln -v -X GET` verwenden solche Anfrage senden, typischerweise ist dies eine unauth Remote File Inclusion. Ein Angreifer könnte ausgestrahlt jedes Video ohne Authentifizierung, der schlimmste Fall Angreifer könnte diese Sicherheitsanfälligkeit nutzen, um eine gefälschte Notfallnachricht senden (Scary Recht?).
Das Problem hierbei ist, dass die Verwundbarkeit bleibt ungepatchten und es ist sehr wahrscheinlich, es wird so bleiben. Die Forscher fanden keine Möglichkeit, den Anbieter zu kontaktieren seine Erkenntnisse zu berichten. Es gibt auch ein Proof-of-Concept-Video die erfolgreiche Ausbeutung enthüllt. Das Video zeigt, wie eine Rede von Steve Jobs plötzlich mit einem Angreifer gefälschten ersetzt wird “Notalarmmeldung”.
Die Sicherheitslücke wurde eine CVE-ID zugewiesen, CVE-2019-12477, aber es gibt keine Informationen, ob es jemals Adressen werden. So, Was können Besitzer von SUPRA Smart-Cloud-TVs zu tun? Die kurze Antwort ist, halten Sie das drahtlose Netzwerk so sicher wie möglich durch ein starkes Passwort und eine Firewall für alle intelligenten Geräte mit. Weil, wie wir jeden Tag beweisen, Smart Homes sind nicht so intelligent überhaupt.
Ein gutes Beispiel dafür, wie einfach es ist, ein Smart-Home-Hack kommt von Avast Forschern. Letzten August, sie gewarnt über das MQTT Protokoll (Message Queuing Telemetry Transport) was, wenn falsch konfiguriert, geben könnten Hacker vollständigen Zugriff auf ein Smart-Home. Als Ergebnis dieser Sicherheitslücke, das Haus könnte in vielerlei Hinsicht einschließlich ihrer unterhaltsam und Sprachsysteme manipuliert werden, verschiedene Haushaltsgeräte, und Smart-Türen.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: