欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

智能电视再曝漏洞——Supra智能云电视漏洞可导致设备被劫持

来源:本站整理 作者:佚名 时间:2019-06-10 TAG: 我要投稿

攻击者可以利用智能电视的漏洞,攻击与之连接的家用路由器,获得远程访问。
Supra智能电视中一个未修补的漏洞使得同一Wi-Fi网络上的攻击者可以劫持电视设备,播放他们自己的内容,如伪造的紧急事件广播消息。
由安全研究员Mishra发现的漏洞(CVE-2019-12477)存在于SUPRA智能云电视品牌中,该品牌在俄罗斯和东欧很受欢迎。根据网络信息,这些电视主要通过网上销售的形式在俄罗斯、中国和阿拉伯联合酋长国出售。
这个漏洞的问题在于`openLiveURL()`功能,电视用它来获取流内容。但是Mishra发现,这个功能缺乏认证要求或会话管理。因此,攻击者可以通过向静态URL发送特制请求来触发漏洞,从而允许攻击者注入远程文件。
Mishra最初通过源代码审查发现了这个漏洞,然后通过抓取应用程序,并读取每个请求来触发这个漏洞。Supra Smart Cloud TV允许在openLiveURL功能中包含远程文件,允许本地攻击者通过“/ remote / media_control?action = setUri&uri = URI”指令广播虚假视频,而无需任何身份验证。
攻击者必须访问家庭Wi-Fi网络的要求显然可以在一定程度上缓解威胁。但是路由器中不断增加的物联网漏洞可以让攻击者远程访问该网络。例如,最近发现两款低端TP-Link路由器,型号TP-Link WR940N和TL-WR941ND,很容易受到漏洞攻击。IBM研究中心的Grzegorz Wypych在4月份的研究中发现这些路由器中的零日漏洞可能允许恶意第三方从远程控制设备。
SUPRA的这个漏洞至今仍未修补,也联系不到供应商。
智能电视劫持事件并非闻所未闻:今年1月,黑客利用易受攻击的Chromecast和Google Home设备在消费者电视上播放消息,宣传知名YouTube明星PewDiePie。
2018年消费者报告同时曝光了三星和TCL的两款智能电视机型,都含有可导致攻击者控制目标电视的漏洞。报告指出,利用这些漏洞,黑客不论身处何处,都能够控制电视、改变频道、调高音量、或者播放令人反感的YouTube视频内容。
其它智能电视漏洞也出现了问题。例如,去年秋天安全研究人员披露了8个有漏洞的索尼Bravia智能电视型号,这些漏洞可能导致以root权限完成远程代码执行。被控的电视可以被接到僵尸网络中,或者被用作对共享同一网络的设备的攻击跳板。
随着智能电视越来越普遍,其漏洞的影响也在增长。而智能电视包含永远在线的连接和高性能GPU,注定是网络犯罪分子的香饽饽。
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载