Lo he dicho antes y lo diré de nuevo: los dispositivos inteligentes son una de las tecnologías más tontas, hasta ahora, cuando se trata de proteger la privacidad y la seguridad de los usuarios.
A medida que se venden más y más dispositivos inteligentes en todo el mundo, los consumidores deben ser conscientes de los riesgos de seguridad y privacidad asociados con los llamados dispositivos inteligentes.
Cuando se trata de dispositivos conectados a Internet, los televisores inteligentes son los que han evolucionado mucho, brindando a los consumidores muchas opciones para disfrutar de la transmisión, navegar por Internet, jugar y guardar archivos en la nube, lo que técnicamente le permite hacer todo en como una PC completa.
Aparentemente, en los últimos años hemos informado cómo los televisores inteligentes se pueden usar para espiar a los usuarios finales sin su consentimiento explícito, cómo los piratas informáticos remotos pueden incluso tomar el control total de la mayoría de los televisores inteligentes sin tener acceso físico a ellos y cómo Las fallas en los televisores inteligentes permitieron a los piratas informáticos secuestrar la pantalla del televisor.
Ahora, más recientemente, los televisores inteligentes que se venden bajo la marca SUPRA se han encontrado vulnerables a una vulnerabilidad de inclusión de archivos remotos sin parches que podría permitir a los atacantes WiFi transmitir videos falsos a la pantalla del televisor sin ninguna autenticación con el televisor.
SUPRA es una marca rusa de productos electrónicos menos conocida en Internet que fabrica varios equipos de audio y video, electrodomésticos y productos electrónicos para automóviles asequibles, la mayoría de los cuales se distribuyen a través de sitios web de comercio electrónico rusos, chinos, rusos y de los Emiratos Árabes Unidos.
Descubierta por Dhiraj Mishra y compartida con The Hacker News, la vulnerabilidad (CVE-2019-12477) reside en la función «openLiveURL» del Supra Smart Cloud TV debido a la falta de autenticación o gestión de sesiones.
Como se muestra en la URL de PoC, la vulnerabilidad podría permitir que un atacante local inyecte un archivo remoto en la transmisión y muestre videos falsos sin ninguna autenticación.
«Un usuario legítimo está viendo una película de acción y los atacantes activan la vulnerabilidad de inclusión remota de archivos al mismo tiempo, por lo que el atacante tendría control total sobre el televisor y podría transmitir cualquier cosa», explica el investigador.
Como lo demostró Dhiraj, el exploit le permitió transmitir una «alerta de emergencia» falsa mientras la televisión reproducía un discurso de Steve Jobs, simplemente inyectando el archivo de video a través de la URL de PoC usando su navegador web.
Aunque el requisito de que los atacantes tengan acceso a la red Wi-Fi de la víctima de forma predeterminada limita la amenaza en gran medida, un número creciente de vulnerabilidades de enrutador e IoT aún lo convierten en un escenario de ataque potencial para atacantes remotos.
Aunque a la vulnerabilidad se le ha asignado una ID de CVE, es poco probable que se repare. Por lo tanto, los usuarios que poseen un Supra Smart Cloud TV no pueden hacer más que mantener segura su red WiFi, como establecer una contraseña segura, evitar compartir la contraseña WiFi con personas que no son de confianza y mantener otros dispositivos llamados inteligentes detrás de un firewall o fuera de Internet. que están conectados a la misma red.
