La smart TV de Supra peut être détournée pour diffuser un faux message d'alerte (entre autres)

Les appareils intelligents ont souvent du mal à être à la hauteur de leur nom, en particulier au niveau de la sécurité. Le dernier exemple en date vient d’un chasseur de bogues qui a découvert une faille qui permet à des hackers malveillants de détourner le flux vidéo des télévisions Supra Smart Cloud.

Imaginez-vous confortablement assis dans votre canapé devant le dernier John Wick, lorsque votre téléviseur commence à émettre un message d’alerte. C’est exactement ce qu’a fait Dhiraj Mishra dans sa démonstration de faisabilité (proof of concept), mais au lieu d’un blockbuster avec Keanu Reeves, il a choisi une présentation de Steve Jobs.

 

 

 

La vulnérabilité en question (CVE-2019-12477) réside dans la fonction openLiveURL, qui permet à un attaquant local de diffuser de fausses vidéos sans authentification, explique Mishra sur son blog.

Il a d’abord trouvé la faille en examinant le code source et a décidé d’essayer différentes manières de l’exploiter. En analysant l’application et en lisant chaque requête, il a été en mesure de déclencher la vulnérabilité.

“Un utilisateur légitime regarde tranquillement un film d’action et au même moment le pirate déclenche la vulnérabilité d’inclusion de fichier à distance, de sorte que l’attaquant aura le contrôle total sur la télévision et pourra diffuser n’importe quoi”, a déclaré le chasseur de bogues au journal The Register. “L’attaquant peut diffuser n’importe quel faux message d’urgence ou, pire, diffuser des appels à la violence.”

Mishra a déclaré qu’il n’avait pas trouvé le moyen de contacter le fournisseur, la faille n’a donc pas été corrigée.