forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."
Отправлено opennews, 04-Июн-19 15:34

В телевизорах Supra Smart Cloud TV выявлена (https://www.inputzero.io/2019/06/hacking-smart-tv.html) уязвимость (CVE-2019-12477), позволяющая подменить просматриваемую в данный момент передачу на контент атакующего. В качестве примера продемонстрирован вывод фиктивного предупреждения о возникновении чрезвычайной ситуации.
Для атаки достаточно отправить специально оформленный сетевой запрос, не требующий аутентификации. В частности, можно обратиться к обработчику "/remote/media_control?action=setUri&uri=" указав URL m3u8-файла с параметрами видео, например "http://192.168.1.155/remote/media_control?action=setUri&uri=....
В большинстве случаев доступ к IP-адресу телевизора ограничен внутренней сетью, но так как запрос отправляется через HTTP возможно применение методов для обращения к внутренним ресурсам при открытии пользователем специально оформленной внешней страницы (например, под видом запроса картинки или используя метод DNS Rebinding (https://www.opennet.ru/opennews/art.shtml?num=27533)).
URL: https://www.inputzero.io/2019/06/hacking-smart-tv.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=50806

Исходное сообщение
"Уязвимость в умных телевизорах Supra, позволяющая вывести фи..." Отправлено opennews, 04-Июн-19 15:34
В телевизорах Supra Smart Cloud TV выявлена (https://www.inputzero.io/2019/06/hacking-smart-tv.html) уязвимость (CVE-2019-12477), позволяющая подменить просматриваемую в данный момент передачу на контент атакующего. В качестве примера продемонстрирован вывод фиктивного предупреждения о возникновении чрезвычайной ситуации. Для атаки достаточно отправить специально оформленный сетевой запрос, не требующий аутентификации. В частности, можно обратиться к обработчику "/remote/media_control?action=setUri&uri=" указав URL m3u8-файла с параметрами видео, например "http://192.168.1.155/remote/media_control?action=setUri&uri=.... В большинстве случаев доступ к IP-адресу телевизора ограничен внутренней сетью, но так как запрос отправляется через HTTP возможно применение методов для обращения к внутренним ресурсам при открытии пользователем специально оформленной внешней страницы (например, под видом запроса картинки или используя метод DNS Rebinding (https://www.opennet.ru/opennews/art.shtml?num=27533)). URL: https://www.inputzero.io/2019/06/hacking-smart-tv.html Новость: https://www.opennet.ru/opennews/art.shtml?num=50806

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> В телевизорах Supra Smart Cloud TV выявлена (https://www.inputzero.io/2019/06/hacking-smart-tv.html) 
> уязвимость (CVE-2019-12477), позволяющая подменить просматриваемую в данный момент передачу 
> на контент атакующего. В качестве примера продемонстрирован вывод фиктивного предупреждения 
> о возникновении чрезвычайной ситуации.

> Для атаки достаточно отправить специально оформленный сетевой запрос, не требующий аутентификации. 
> В частности, можно обратиться к обработчику "/remote/media_control?action=setUri&uri=" 
> указав URL m3u8-файла с параметрами видео, например "http://192.168.1.155/remote/media_control?action=setUri&uri=http://attacker.com/fake_broadcast_message.m3u8".

> В большинстве случаев доступ к IP-адресу телевизора ограничен внутренней сетью, но так 
> как запрос отправляется через HTTP возможно применение методов для обращения к 
> внутренним ресурсам при открытии пользователем специально оформленной внешней страницы 
> (например, под видом запроса картинки или используя метод DNS Rebinding (https://www.opennet.ru/opennews/art.shtml?num=27533)).

> URL: https://www.inputzero.io/2019/06/hacking-smart-tv.html 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=50806

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру