Supra Smart Cloud TV の所有者は、望ましくないプログラミングに遭遇する危険があります。Wi-Fi ネットワーク上の悪意のある人物やマルウェアが、視聴中の番組を自分の選んだビデオに切り替えてしまう可能性があります。
バグハンターのDhiraj Mishra氏は、CVE-2019-12477を主張しました。これは、リモートファイルインクルードのゼロデイ脆弱性です。この脆弱性により、ローカルネットワークにアクセスできるユーザーは誰でも、パスワードなしで、テレビに表示する動画を指定し、現在表示されている動画を上書きすることができます。そのため、ハッカーよりもいたずら好きな家族が悪用する可能性が高いでしょう。
ミシュラ氏はThe Registerに対し、この問題はWi-Fi接続テレビを制御するソフトウェアに認証やセッション管理が全く存在しないことが原因だと述べた。悪意のあるHTTP GETリクエストを作成し、ネットワーク経由でテレビに送信することで、攻撃者は標的に任意の動画URLを提供し、セキュリティチェックを一切行わずにテレビでストリーミング再生できるようになる。
実際には、このバグは、ワイヤレス パスワードをすでに知っているか、セキュリティ保護されていないネットワークを利用してローカル ネットワーク上にいる何者かによって悪用され、自分のビデオへのリンクを含むリクエストがテレビに送信されます。テレビが何らかの方法でパブリック インターネットに接続している場合は、もちろん、遠くから乗っ取られる可能性があります。
Pewdiepieのファンボーイ、プリンターとChromecastのhaxxx0rが撤退、「捕まるのを恐れている」と語る
続きを読む
これは通常、無害ないたずらに過ぎないが、特に悪意のあるユーザーは、偽の緊急警報を表示してパニックを起こそうとする可能性があるとミシュラ氏は指摘した。
「正当なユーザーがアクション映画を見ていると同時に、攻撃者がリモートファイルインクルードの脆弱性を悪用する。すると攻撃者はテレビを完全に制御できるようになり、何でも放送できるようになる」とミシュラ氏はエル・レグ紙に語った。
「攻撃者は偽の緊急メッセージを放送したり、最悪の場合にはパージメッセージを放送したりする可能性があります。」
テレビがどのように侵害される可能性があるかを示すビデオがこちらにあります:
YouTubeビデオ
ミシュラ氏は、日本企業として登録されているスープラ社に連絡を取ろうとしたが、連絡先を見つけることができなかったと述べた。The Registerも同様に、製造元に連絡を取ることができなかった。そのため、この脆弱性は未修正のままである。セキュリティ研究者は、今のところ他のブランドで脆弱性が見つかったことはないと述べている。
ある程度の年齢の人は、悪名高いマックス・ヘッドルーム事件を思い出すに違いありません。1987年、アメリカ・シカゴ地域のハッカーたちが地元テレビ局2局の電波を乗っ取り、コカ・コーラのアニメキャラクター、スポークスドロイドのゴムマスクをかぶった正体不明の人物が暴言を吐く奇妙な映像を視聴者に短時間だけ配信しました。
Supra TV の所有者で、Max Headroom のような事態を経験することを心配している人は、Wi-Fi ネットワークが保護されていること、また信頼できるユーザーのみがローカル アクセスを持っていることを確認することをお勧めします。®
