SUPRA smart televizorlaridagi zaiflik har qanday videoni ekranda ko’rsatish imkonini beradi.
Mahalliy tajovuzkor o’z xohishiga ko’ra video translyatsiyani ushlab, uni videofayllar bilan almashtirishi mumkin.
Xavfsizlik bo’yicha tadqiqotchi Dhiraj Mishra Rossiyaning SUPRA kompaniyasining aqlli televizorlarida tajovuzkorlarga ekranni nazorat qilish va unda istalgan videoni ko’rsatish imkonini beruvchi zaiflikni aniqladi. SUPRA nisbatan arzon audio/video uskunalari, maishiy texnika va avtomobil elektronikasini sotadi. Mahsulotlarining aksariyati rus, xitoy va arab elektron tijorat saytlari orqali sotiladi.
Tadqiqotchi tomonidan aniqlangan zaiflik (CVE-2019-12477) Supra Smart Cloud televizorlariga (xususan, “openLiveURL” funksiyasi) taʼsir qiladi va autentifikatsiya va seans boshqaruvining yoʻqligi tufayli mavjud. Ushbu zaiflikdan foydalanib, mahalliy tajovuzkor o’zi tanlagan videofaylni hech qanday autentifikatsiyasiz davom etayotgan video oqimiga kiritishi mumkin.
Tadqiqotchi Stiv Jobs nutqi vaqtida televizor ekranida favqulodda ogohlantirishni ko‘rsatish imkonini beruvchi kontseptsiyani isbotlovchi ekspluatatsiyani ishlab chiqdi. Mishra video translyatsiyaga soxta bildirishnomani faqat kontseptsiyani isbotlovchi havola va brauzer yordamida kirita oldi.
Hujumni amalga oshirish uchun tajovuzkor qurbonning uy Wi-Fi tarmog’iga kirish huquqiga ega bo’lishi kerak. Biroq, marshrutizatorlar va boshqa IoT qurilmalaridagi turli zaifliklar tajovuzkorning vazifasini sezilarli darajada soddalashtirishi mumkin.
Zaiflik hozircha tuzatilmagan. Supra Smart Cloud TV foydalanuvchilariga uy Wi-Fi tarmoqlari xavfsizligini kuchaytirish tavsiya etiladi.
