Ricercatore di sicurezza Dhiraj Mishra appena scoperto una vulnerabilità di sicurezza, CVE-2.019-12.477, nel marchio smart TV SUPRA.
Apparentemente, Supra intelligente cloud TV permette l'inclusione di file remoti nella funzione openLiveURL, che potrebbe consentire a un attaccante locale di trasmettere video falso senza alcuna autenticazione utilizzando / remote / media_control?Action = Set&uri = URI.
Di più su CVE-2.019-12.477
SUPRA è una società russa che produce apparecchiature audio-video, elettrodomestici ed elettronica auto. La maggior parte della tecnologia viene distribuito attraverso i siti web di e-commerce con sede in Russia, Porcellana, ed Emirati Arabi Uniti.
Nel suo rapporto, il ricercatore ha condiviso che lui riesca a sfruttare `openLiveURL()`Che permette a un attaccante locale di trasmettere video in sovra intelligente nuvola TV. "Ho trovato questa vulnerabilità inizialmente revisione del codice sorgente e poi strisciando l'applicazione e la lettura di ogni richiesta mi ha aiutato a attivare questa vulnerabilità,”, Ha detto Mishra.
Per attivare la vulnerabilità, un utente malintenzionato deve solo per inviare una richiesta appositamente predisposta al seguente URL:
https://192.168.1.155/remote / media_control?Action = Set&uri = https://attacker.com/fake_broadcast_message.m3u8.
Anche se l'URL sopra menzione prende (.M3U8) video basato su formato. Possiamo usare `arricciare -v -X GET` di inviare tale richiesta, tipicamente si tratta di un unauth inclusione di file remoti. Un utente malintenzionato potrebbe trasmettere qualsiasi video senza alcuna autenticazione, il caso peggiore utente malintenzionato potrebbe sfruttare questa vulnerabilità per trasmettere un messaggio di emergenza falso (destra spaventoso?).
Il problema qui è che la vulnerabilità rimane senza patch ed è altamente probabile che rimarrà in questo modo. Il ricercatore non ha trovato un modo per contattare il fornitore di riferire le sue scoperte. C'è anche un video proof-of-concept che rivela lo sfruttamento di successo. Il video mostra come un discorso di Steve Jobs è improvvisamente sostituito con falsi di un attaccante “Emergency Alert Messaggio”.
La vulnerabilità è stato assegnato un ID CVE, CVE-2.019-12.477, ma non ci sono informazioni se sarà mai indirizzi. Così, cosa possono i proprietari di Supra Smart TV nube fare? La risposta breve è mantenere la rete wireless più sicuro possibile, utilizzando una password e un firewall per tutti i dispositivi intelligenti. Perché, come siamo comprovate ogni giorno, case intelligenti non sono così intelligenti a tutti.
Un grande esempio di come sia facile hackerare una casa intelligente viene da ricercatori Avast. Ultimo agosto, hanno avvertito circa il protocollo MQTT (Message Queuing Telemetry Transport) quale, se configurato male, potrebbe dare agli hacker l'accesso completo a una casa intelligente. Come risultato di questa lacuna nella sicurezza, la casa potrebbe essere manipolata in molti modi, tra cui i suoi sistemi di intrattenimento e voce, vari dispositivi domestici, e porte intelligenti.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: