supra

SUPRA Smart TV: une nouvelle vulnérabilité découverte

Les télévisions intelligentes SUPRA sont vulnérables à cause d’une faille d’inclusion de fichiers à distance qui permet à un pirate se trouvant sur le même réseau WiFi de diffuser des vidéos sur l’écran sans authentification.

SUPRA Smart TV

SUPRA est une marque électronique Russe qui manufacture des équipements audio et vidéo et des appareils ménagers, qui sont distribués sur des sites d’e-commerce Russe, Chinois et Emirats.

Découverte par Dhiraj Mishra, la vulnérabilité (CVE-2019-12477) se trouve dans la fonction “openLiveURL” de la Supra Smart Cloud TV à cause du manque d’authentification et de gestion de session.

Comme démontré par Dhiraj, l’exploit lui a permit de diffuser un faux message “Alerte d’Urgence” alors que la télévision montrer un speech de Steve Jobs—simplement en injectant un fichier vidéo à travers l’URL Proof of Concept en utilisant un navigateur web.

Vu que le pirate doit se trouver sur le même réseau que la victime on pourrait se dire que la menace n’est pas si grande que ça mais les vulnérabilités d’un autre appareil sur le réseau pourraient être utilisé pour lancer cette attaque à distance.

La vulnérabilité a reçu un identifiant CVE, mais il est improbable qu’elle soit patchée. Les utilisateurs des Supra Smart Cloud TV doivent donc faire le nécessaire pour que leur réseau reste sécurisé.

Laisser un commentaire