O pesquisador de segurança Dhiraj Mishra apenas descobriu uma vulnerabilidade de segurança, CVE-2019-12477, na marca SUPRA inteligente TV.
Pelo visto, Supra inteligente Nuvem TV permite a inclusão de arquivo remoto na função openLiveURL, que pode permitir que um invasor local transmita um vídeo falso sem qualquer autenticação usando / remote / media_control?ação = conjuntos&uri = URI.
Mais sobre CVE-2019-12477
SUPRA é uma empresa russa que fabrica equipamentos de áudio e vídeo, eletrodomésticos e eletrônicos automotivos. A maior parte da tecnologia está sendo distribuída por meio de sites de comércio eletrônico na Rússia, China, e Emirados Árabes Unidos.
Em seu relatório, o pesquisador compartilhada que ele explorou com sucesso `openLiveURL()`que permite a um atacante local transmitir vídeo na TV em nuvem supra smart. “Eu encontrei essa vulnerabilidade inicialmente pela revisão do código-fonte e, em seguida, rastrear o aplicativo e ler cada solicitação me ajudou a acionar esta vulnerabilidade,”Mishra disse.
Para acionar a vulnerabilidade, um invasor teria apenas que enviar uma solicitação especialmente criada para o seguinte URL:
https://192.168.1.155/remoto / media_control?ação = conjuntos&uri = https://attacker.com/fake_broadcast_message.m3u8.
Embora o URL de referência acima leve (.M3U8) vídeo baseado em formato. Podemos usar `curl -v -X GET` para enviar tal pedido, normalmente, esta é uma inclusão de arquivo remoto não autenticado. Um invasor pode transmitir qualquer vídeo sem qualquer autenticação, o pior invasor pode aproveitar esta vulnerabilidade para transmitir uma falsa mensagem de emergência (Assustador certo?).
O problema aqui é que a vulnerabilidade permanece sem correção e é altamente provável que continue assim. O pesquisador não encontrou nenhuma maneira de entrar em contato com o fornecedor para relatar suas descobertas. Há também um vídeo de prova de conceito revelando a exploração bem-sucedida. O vídeo mostra como um discurso de Steve Jobs é repentinamente substituído por um falso “Mensagem de Alerta de Emergência”.
A vulnerabilidade foi atribuída a um CVE ID, CVE-2019-12477, mas não há informações se algum dia serão endereços. assim, o que os proprietários de SUPRA Smart Cloud TVs podem fazer? A resposta curta é manter a rede sem fio o mais segura possível usando uma senha forte e um firewall para todos os dispositivos inteligentes. Porque, como somos provados todos os dias, casas inteligentes não são tão inteligentes assim.
Um ótimo exemplo de como é fácil hackear uma casa inteligente vem de pesquisadores do Avast. Último agosto, eles alertaram sobre o protocolo MQTT (Transporte de telemetria de enfileiramento de mensagens) qual, se mal configurado, poderia dar aos hackers acesso completo a uma casa inteligente. Como resultado dessa brecha de segurança, a casa pode ser manipulada de várias maneiras, incluindo seus sistemas de entretenimento e voz, vários aparelhos domésticos, e portas inteligentes.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: