Sony Smart TV’laridagi zaifliklar Wi-Fi parollarini oshkor qildi
Muammolar Bravia flagman liniyasiga ham ta’sir qiladi.
Android platformasida ishlaydigan Sony Smart TV televizorlarida qurilmada saqlangan Wi-Fi va multimedia kontentiga kirish imkonini beruvchi ikkita zaiflik mavjud. Muammolar flagman Bravia liniyasiga ham ta’sir qiladi. Xatolar Sony Smart TV’lardagi smartfondan fotosuratlar va multimedia kontentini yuklash uchun mo’ljallangan Photo Sharing Plus ilovasi bilan bog’liq. Birinchi zaiflik (CVE-2019-11336) ruxsatsiz tajovuzkorga Photo Sharing Plus ishga tushirilganda yaratilgan Wi-Fi parolini olish imkonini beradi. Ikkinchi muammo (CVE-2019-10886) ruxsatsiz tajovuzkorga qurilma dasturiy ta’minotidagi fayllarni, jumladan, rasmlarni o’qish imkonini beradi.
Birinchi holda, ishga tushirilganda, ilova televizorni Wi-Fi ulanish nuqtasiga aylantiradi va foydalanuvchilarga ulanish va media kontentini almashish imkonini beruvchi parolni ko’rsatadi, deb xabar beradi xen1thLabs tadqiqotchilari. Bu tajovuzkorga uy yoki korporativ tarmoqdan osongina kirish mumkin bo’lgan Photo Sharing Plus API jurnallaridan oddiy matnda saqlangan parolni olish imkonini beradi.
Ikkinchi zaiflik shundaki, dastur sukut bo’yicha fayllarni ‘/data/user/0/com.sony.dtv.photosharingplus/files/_BRAVPSS.TMP/’ katalogida saqlaydi. Bundan tashqari, o’rnatilgan «http://[ip_tv]:10000/contentshare/image/» veb-manziliga kirish parolni o’z ichiga olgan holda asosiy katalog va fayllarga kirish imkonini beradi. Ikkala holatda ham, tajovuzkorlar o’z kontentlarini yuklashlari yoki televizor egalariga tegishli kontentni o’g’irlashlari mumkin.
Sony allaqachon o’zining aqlli televizorlaridan zaif ilovani olib tashlagan. Zararli qurilmalar modellari ro’yxati bu yerda mavjud.
