Les appareils intelligents ont souvent du mal à être à la hauteur de leur nom, en particulier au niveau de la sécurité. Le dernier exemple en date vient d’un chasseur de bogues qui a découvert une faille qui permet à des hackers malveillants de détourner le flux vidéo des télévisions Supra Smart Cloud.
Imaginez-vous confortablement assis dans votre canapé devant le dernier John Wick, lorsque votre téléviseur commence à émettre un message d’alerte. C’est exactement ce qu’a fait Dhiraj Mishra dans sa démonstration de faisabilité (proof of concept), mais au lieu d’un blockbuster avec Keanu Reeves, il a choisi une présentation de Steve Jobs.
La vulnérabilité en question (CVE-2019-12477) réside dans la fonction openLiveURL, qui permet à un attaquant local de diffuser de fausses vidéos sans authentification, explique Mishra sur son blog.
Il a d’abord trouvé la faille en examinant le code source et a décidé d’essayer différentes manières de l’exploiter. En analysant l’application et en lisant chaque requête, il a été en mesure de déclencher la vulnérabilité.
“Un utilisateur légitime regarde tranquillement un film d’action et au même moment le pirate déclenche la vulnérabilité d’inclusion de fichier à distance, de sorte que l’attaquant aura le contrôle total sur la télévision et pourra diffuser n’importe quoi”, a déclaré le chasseur de bogues au journal The Register. “L’attaquant peut diffuser n’importe quel faux message d’urgence ou, pire, diffuser des appels à la violence.”
Mishra a déclaré qu’il n’avait pas trouvé le moyen de contacter le fournisseur, la faille n’a donc pas été corrigée.
tags
The meaning of Bitdefender’s mascot, the Dacian Draco, a symbol that depicts a mythical animal with a wolf’s head and a dragon’s body, is “to watch” and to “guard with a sharp eye.”
Voir toutes les publicationsMars 13, 2025
Juillet 01, 2024
Juin 10, 2024
Juin 03, 2024