The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +/
Сообщение от opennews (??), 04-Июн-19, 15:34 
В телевизорах Supra Smart Cloud TV выявлена (https://www.inputzero.io/2019/06/hacking-smart-tv.html) уязвимость (CVE-2019-12477), позволяющая подменить просматриваемую в данный момент передачу на контент атакующего. В качестве примера продемонстрирован вывод фиктивного предупреждения о возникновении чрезвычайной ситуации.

Для атаки достаточно отправить специально оформленный сетевой запрос, не требующий аутентификации. В частности, можно обратиться к обработчику "/remote/media_control?action=setUri&uri=" указав URL m3u8-файла с параметрами видео, например "http://192.168.1.155/remote/media_control?action=setUri&uri=....

В большинстве случаев доступ к IP-адресу телевизора ограничен внутренней сетью, но так как запрос отправляется через HTTP возможно применение методов для обращения к внутренним ресурсам при открытии пользователем специально оформленной внешней страницы (например, под видом запроса картинки или используя метод DNS Rebinding (https://www.opennet.ru/opennews/art.shtml?num=27533)).

URL: https://www.inputzero.io/2019/06/hacking-smart-tv.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=50806

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


5. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +15 +/
Сообщение от Попугай Кеша (?), 04-Июн-19, 15:49 
Телевизор годится для вывода изображения через HDMI. А вот телевещание - нафиг, нафиг.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +1 +/
Сообщение от AlexYeCu_not_logged (?), 04-Июн-19, 16:33 
Попугай дело говорит! Вершина эволюции пернатых, практически.
Ещё DLNA бывает полезной штукой.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

19. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +2 +/
Сообщение от th3m3 (ok), 04-Июн-19, 16:41 
>Ещё DLNA бывает полезной штукой.

Это просто мега нужная вещь.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

23. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  –1 +/
Сообщение от Ivan_83 (ok), 04-Июн-19, 17:00 
Кому как и смотря какой.
У нас телек умеет быть медиарентерером и имеет встроенный клиент - те умеет видеть в сети медиастораджи, шарится по ним и воспроизводить от туда.
Вот медиарендерером - те отправить видео с мобилы на ящег в виде ссылки мы не пользовались, только я несколько раз для эксперимента, а встроенным клиентом пользовались но он не шибко удобный в плане юзабилити.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

35. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +/
Сообщение от Аноним (35), 04-Июн-19, 20:02 
Встроенные рендереры - это обычно пичаль и порой проблемы с форматами. Проще подключить rpi или хоть x86 и играть стандартным плеером всё что угодно.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

40. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  –1 +/
Сообщение от Васька (??), 04-Июн-19, 23:55 
Рпи на роль плеера годится с трудом, хотя бы одроид какой-нибудь, куча вариантов. Пиха безнадежна в этом плане, только если деть больше некуда.
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

42. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +/
Сообщение от Ivan_83 (ok), 05-Июн-19, 03:10 
Я бы не сказал.
Мне телека 2011 года хватало вот до практически этого года, редко когда он что то не тянул.
Заменил на райзен+коди+беспроводной джойстик чтобы рулить удобно.
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

36. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +/
Сообщение от Аноним (35), 04-Июн-19, 20:11 
На самом деле то, что вы называете DLNA - не совсем DLNA. А набор надстроек и плюшек уже не входящих в стандарт. Так бы вы мало что воспроизвели.
https://gxben.wordpress.com/2008/08/24/why-do-i-hate-dlna-pr.../
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

43. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +2 +/
Сообщение от Ivan_83 (ok), 05-Июн-19, 03:22 
Я тоже немного в теме: https://github.com/rozhuk-im/ssdpd - собственный DLNA "сервер".
На самом деле DLNA шикарен как задумка.
По сути весь тот секс и зоопарк что сейчас называется IoT он был в DLNA ещё 15 лет назад, а чего нет - легко туда добавляется.
Например, твой автор жалуется что там мало форматов поддерживается, но на самом деле это не совсем так. DLNA позволяет пользователю соединять устройства в цепочки для обработки контента: можно сказать чтобы вот тот конвертер (не помню как оно называется правильно) взял файло экзотического формата вон из того медиахранилища и результат работы застримил на вот этот медиа рендерер.
В спецификации описано много чего, например всякие тюнеры вплоть до возможности с них получать EPG.
Те можно, в теории, соорудить цепочку которая забирает с тюнера и ложит в хранилку - получился видак.
Но на практике вендоры реализуют только самый примитив, вот этим самые рендереры и хранилку как у меня, ни тюнеров ни конверторов ни чего то ещё я не видел, как минимум железных.
Протокол конечно смотрится дико: мультикастом оно ищет кто где есть, потом по хттп + соап общается.
Ещё вендоры плодят всякие свои нестандартные расширения, да и даже относительно стандартные вещи у разных вендоров работают по разному, поэтому в том же xupnpd тупо сделали профили для разных устройств, чтобы они по максимуму раскрывали свои возможности.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

55. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +/
Сообщение от Аноним (55), 11-Июн-19, 17:10 
> можно сказать чтобы вот тот конвертер (не помню как оно называется правильно) взял файло экзотического формата вон из того медиахранилища и результат работы застримил на вот этот медиа рендерер

Да на фиг надо! Отправил(Yatse) ссылку на проигрыватель и он играет. Всё.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

58. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +/
Сообщение от Тот_Самый_Анонимус (?), 15-Июн-19, 18:28 
Если телевидение может вас зомбировать, то и в его отсутствие у вас не будет своего мнения.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +/
Сообщение от Аноним (8), 04-Июн-19, 15:58 
Internet of shit.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +17 +/
Сообщение от fske (?), 04-Июн-19, 16:06 
Так вот как ios расшифровывается...
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

37. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +3 +/
Сообщение от Аноним (37), 04-Июн-19, 21:12 
У вас в слове gayos 3 ошибки.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

44. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +1 +/
Сообщение от Канделябры (?), 05-Июн-19, 03:24 
Голодный сытого всегда обидеть норовит.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

53. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +3 +/
Сообщение от max5775 (ok), 05-Июн-19, 11:59 
так обычно голодные те, кто с gayфонами, т.к экономят на еде, чтобы его купить
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

54. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +/
Сообщение от Канделябры (?), 05-Июн-19, 14:04 
Нищедрот любит убеждать себя, что все вокруг такие же как он. Ведь иначе ему становится неуютно.
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

10. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +/
Сообщение от Нанобот (ok), 04-Июн-19, 16:01 
по-моему это штатный функционал UPNP или DLNA
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +/
Сообщение от Аноним (21), 04-Июн-19, 16:49 
Не это конкретно фича супры.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

56. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +/
Сообщение от Аноним (55), 11-Июн-19, 17:13 
Клёвая фича, кстати.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

17. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +1 +/
Сообщение от Анонимemail (17), 04-Июн-19, 16:39 
Не знал что на телеках супра такое отвратительное изображение.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +/
Сообщение от Васька (??), 04-Июн-19, 23:59 
Супра уже лет 15 как франшиза, не угадаешь что внутри, но почти наверняка хлам, недорогая франшиза, видимо
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

18. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +/
Сообщение от Sluggard (ok), 04-Июн-19, 16:40 
Supra же делает всякий ширпотребный хлам и металлолом, продающийся за 3 рубля/пучок. Откуда у них SmartTV? Да и пусть он есть, кому надо его атаковать?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +1 +/
Сообщение от Ivan_83 (ok), 04-Июн-19, 17:05 
Это не совсем смарт, судя по описанию :)
Во всех телика есть DLNA, обычно это и клиент чтобы шарится по стораджам и рендерер чтобы на него слать урлы и немного рулить.
Вот супра просто прикрутила какой то свой алиас для того чтобы ящегу скармливать урл для воспроизведения.
Притом судя по новости, этот урл скорее всего чуть более функциональный чем то что обычно умеет DLNA рендерер, потому что когда я копался оно не умело m8u, только файлы с видео/фото/музоном.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

27. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +/
Сообщение от iPony129412 (?), 04-Июн-19, 17:17 
Телевизор SUPRA STV-LC60GT5000U - 47870 ₽
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

46. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  –4 +/
Сообщение от Канделябры (?), 05-Июн-19, 03:27 
Действительно какой-то хлам. Мой телевизор стоил дороже, когда доллар был по 35.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

22. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +5 +/
Сообщение от Ivan_83 (ok), 04-Июн-19, 16:57 
Нету там никакой уязвимости, авторы пишущие про уязвимость - просто кретины.

В очень многих ящиках есть DLNA, фактически они объявляют себя как MediaRenderer, любой кто в сети есть может послать туда по http+soap (это DLNA=UPnP внутри такой) запрос на вопроизведение контента с урла, и ещё громкостью и перемоткой порулить.
Дудль хромекаст и аналоги это как раз просто микро комп=плеер который рулится по DLNA, объявляет себя в сети медиарендерером и выплёвывает проигрываемое на HDMI.

Периодически дети развлекаются тем что в магазинах цепляют к сети где есть ящики и с помощью нехитрых общедоступных андройд приложений включают порнушку.

Вся "вина" супры только в том, что у них помимо DLNA есть ещё один урл для этого и что ихний девайс попался в руки этого "исследователя".

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +1 +/
Сообщение от Аноним (32), 04-Июн-19, 19:00 
DLNA не позволяет молча и незаметно переключить контент.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

34. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +/
Сообщение от Аноним (35), 04-Июн-19, 19:58 
DLNA (в оригинальной версии) - вообще кракозябра от рождения. И каждый "расширяет" как может и хочет. В итоге получается куча костыликов и расширений, и иногда - вот такие уберфичи (хоть само описанное не относится непосредственно к DLNA).
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

45. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +/
Сообщение от Ivan_83 (ok), 05-Июн-19, 03:26 
А вот тут сильно зависит от реализации.
Помнится я дома игрался со всякими "сетевыми пультами" и DLNA control point~ами (вроде так, по сути плеер который умеет на рендерер комманду на воспроизведение заслать), так вот некоторые работали с моис самсунгом вообще сразу, для других телек запрашивал подтверждение разрешения на управление.
Учитывая зоопарк вендоров вполне найдутся и такие кто даже гуй плеера и уведомление что вопроизведение началось не покажет, и в общем то это даже к лучшему - потому что пользователю этот мусор на экране не нужен.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

39. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  –1 +/
Сообщение от супрафаг (?), 04-Июн-19, 23:27 
Особенно смешно, то что сама супра не производит даже ПО. Разные модели тв с полностью разными прошивками и аппаратным обеспечением. Все что они делают это клеят шилдики.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

25. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +/
Сообщение от Аноним (25), 04-Июн-19, 17:06 
Mmm Supra...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +/
Сообщение от th3m3 (ok), 04-Июн-19, 21:43 
Палево тех, кто смотрел "This is horosho" на порнохабе :)
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

50. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +/
Сообщение от Аноним (25), 05-Июн-19, 06:01 
Вообще-то это Efukt
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

57. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +/
Сообщение от Аноним (55), 11-Июн-19, 17:19 
Ты спалился. :-D
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

26. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +1 +/
Сообщение от Аноним (26), 04-Июн-19, 17:13 
Вайоминский инцидент ещё не делали?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

48. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +/
Сообщение от Ivan_83 (ok), 05-Июн-19, 03:33 
А смысл?
Автоматизировать это сложно, по крайней мере не тривиально, и лулзы при этом врядли получишь потому что обратной связи нет.
Хотя тут в новостях писали как какие то шутники ломанули умную колонку и семья уже было собралась свалить за город, по дальше от будущей радиоактивной воронки, но выйдя из дома они больше никого валящего в панике не увидели и как то задумались :)
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

33. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +/
Сообщение от ОЛЕГ (?), 04-Июн-19, 19:13 
Оооо сиськи можно соседу вещать, он оценит
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +/
Сообщение от Канделябры (?), 05-Июн-19, 03:29 
Непонятно. Так как поставить туда GNU/Linux?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

49. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +/
Сообщение от Ivan_83 (ok), 05-Июн-19, 03:35 
Это пустая трата времени, лучше собери на х86 и поставь коди, это хотя бы апгрейдить и обслуживать легко и просто.
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

51. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +/
Сообщение от Tifereth (?), 05-Июн-19, 08:18 
Ну и какие они после этого "умные"?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

52. "Уязвимость в умных телевизорах Supra, позволяющая вывести фи..."  +/
Сообщение от KonstantinB (ok), 05-Июн-19, 11:40 
В магазине кто-нибудь уже пошалил?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру