Security-onderzoeker Dhiraj Mishra net ontdekt dat er een beveiligingsprobleem, CVE-2019-12.477, in de SUPRA Smart TV merk.
Blijkbaar, Supra Smart Cloud TV kunt extern bestand opname in de openLiveURL functie, die een lokale aanvaller kan misbruiken om valse video-uitzending zonder enige verificatie gebruiken / remote / media_control?action = Sets&uri = URI.
Meer over CVE-2019-12.477
SUPRA is een Russisch bedrijf dat audio-video-apparatuur produceert, huishoudelijke apparaten en auto-elektronica. Het grootste deel van de technologie die wordt verspreid door middel van e-commerce websites, gevestigd in Rusland, China, en de VAE.
In zijn verslag, de onderzoeker gedeelde dat hij met succes uitgebuit `openLiveURL()`Waardoor een kwaadwillende gebruiker video op supra slimme cloud TV-uitzending. "Ik vond dit beveiligingslek aanvankelijk source code review en vervolgens door het crawlen van de toepassing en het lezen van elk verzoek hielp me om dit beveiligingslek te activeren,”Mishra zei.
De kwetsbaarheid activeren, Een aanvaller zou slechts om een speciaal vervaardigde aanvraag te sturen naar de volgende URL:
https://192.168.1.155/remote / media_control?action = Sets&uri = https://attacker.com/fake_broadcast_message.m3u8.
Hoewel de bovenstaande melding URL neemt (.M3U8) format gebaseerde video. We kunnen gebruik maken van `krullen -v -X GET` een dergelijk verzoek te verzenden, typisch is dit een Onbevoegde extern bestand insluiting. Een aanvaller kan elke video-uitzending zonder enige verificatie, het ergste geval aanvaller kan dit beveiligingslek gebruiken om een valse noodbericht uitzenden (Scary rechts?).
Het probleem hierbij is dat de kwetsbaarheid blijft ongepatchte en het is zeer waarschijnlijk het zal zo blijven. De onderzoeker heeft een manier om contact op met de verkoper om zijn bevindingen te rapporteren niet vinden. Er is ook een proof-of-concept video openbaren van de succesvolle exploitatie. De video laat zien hoe een speech van Steve Jobs plotseling wordt vervangen door nep van een aanvaller “Emergency Alert Message”.
De kwetsbaarheid is toegewezen aan een CVE-ID, CVE-2019-12.477, maar er is geen informatie of het ooit zal zijn adressen. Dus, wat kunnen de eigenaars van SUPRA Smart Cloud televisies doen? Het korte antwoord is het bijhouden van het draadloze netwerk zo veilig mogelijk door het gebruik van een sterk wachtwoord en een firewall voor alle smart devices. Omdat, als we bewezen dat elke dag, smart homes zijn niet zo slim helemaal.
Een geweldig voorbeeld van hoe gemakkelijk het is om een slimme woning hack komt van Avast onderzoekers. In augustus vorig jaar, ze gewaarschuwd over de MQTT protocol (Message Queuing Telemetrie Transport) die, indien misconfigured, kunnen hackers volledige toegang tot een smart home geven. Als gevolg van deze lacune in de beveiliging, het huis kon worden gemanipuleerd op vele manieren met inbegrip van zijn onderhoudend en stemsystemen, diverse huishoudelijke apparaten, en slimme deuren.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: