Независимый исследователь Дхирадж Мишра (Dhiraj Mishra) обнаружил уязвимость типа remote file inclusion в «умных» телевизорах Supra. Баг получил идентификатор CVE-2019-12477 и позволяет злоумышленнику, находящемуся в той же сети Wi-Fi, что и уязвимое устройство, транслировать на экран ТВ любые ролики без какой-либо аутентификации.
Мишра пишет, что проблема связана с функцией openLiveURL в Supra Smart Cloud TV, а также недостатками механизмов аутентификации и менеджмента сессий. Как видно на PoC выше, баг позволяет атакующему внедрить произвольный файл и вывести на экран любое видео. Видеодемонстрация атаки показывает, что исследователь прервал обычную передачу на ТВ (речь Стива Джобса) фальшивым оповещением о чрезвычайной ситуации.
К счастью, атака ограничена тем, что злоумышленник должен находиться в той же сети Wi-Fi, что и его жертва. Однако исследователь отмечает, что учитывая все возрастающее количество уязвимых маршрутизаторов и других IoT-девайсов, найденную им уязвимость не так уж сложно эксплуатировать и удаленно.
Мишра пишет, что хотя уязвимости был присвоен идентификатор CVE, она вряд ли будет исправлена. В итоге владельцам Supra Smart Cloud TV можно посоветовать лишь позаботиться о безопасности своей сети Wi-Fi.
