از آنجا که امروزه دستگاههای هوشمند بیشتری در سراسر جهان به فروش میرسد، مشتریان باید از خطرات امنیت و حریم خصوصی مربوط به دستگاههای هوشمند مطلع باشند. تلویزیونهای هوشمند یکی از دستگاههای بسیار تکامل یافته هستند مخصوصاً زمانیکه به اینترنت متصل میشوند و گزینههای زیادی مانند تماشای فیلم، مرور اینترنت، بازی و ذخیرهی فایلها را در اختیار کاربران قرار میدهند. همچنین از نظر فنی به کاربر اجازه میدهند تا مانند یک رایانهی شخصی همهی کارهای خود را انجام دهند.
طی چند سال گذشته، گزارشهایی دربارهی اینکه چگونه از تلویزیونهای هوشمند برای جاسوسی از کاربران نهایی بدون اطلاع و رضایت آنها استفاده میشود و چگونه نفوذگران راه دور بدون داشتن دسترسی فیزیکی به کنترل کامل تلویزیونهای هوشمند دست پیدا میکنند و چگونه آسیبپذیریهای موجود در تلویزیونهای هوشمند به نفوذگران اجازه نفوذ میدهد، منتشر شده است.
بهتازگی در تلویزیونهای هوشمندی که با نام تجاری SUPRA به فروش میرسند، یک آسیبپذیری گنجاندن فایل از راه دور کشف شده است که به مهاجمان وایفای اجازه میدهد تا ویدئوهای جعلی را بدون احراز هویت در تلویزیون به صفحات تلویزیونها ارسال کنند و برای کاربران نمایش دهند. SUPRA یک نام تجاری روسی است که تجهیزات صوتی و تصویری، لوازم خانگی و قطعات الکترونیکی خودرو را تولید میکند که بیشتر آنها از طریق وبگاههای تجارت الکترونیک روسیه، چین و امارات متحدهی عربی عرضه میشود.
آسیبپذیری با شناسهی CVE-2019-12477 توسط Dhiraj Mishra کشف شده است که در تابع «openLiveURL» متعلق به تلویزیون ابری هوشمند SUPRA وجود دارد و ناشی از عدم وجود احراز هویت یا مدیریت نشست است. همانطور که در آدرس اینترنتی اثبات مفهومی نشان داده شده است، این آسیبپذیری به مهاجم محلی اجازه میدهد تا یک فایل راه دور را پخش کند و ویدئوهای جعلی را بدون احراز هویت نمایش دهد.
بهگفتهی پژوهشگران، هنگامیکه یک کاربر قانونی درحال تماشای فیلم است، مهاجم از آسیبپذیری گنجاندن فایل از راه دور استفاده میکند و به کنترل کامل تلویزیون دست پیدا میکند و میتواند هر فایلی را پخش کند و برای کاربر نمایش دهد. همانطور که Dhiraj نشان داده، این بهرهبرداری به او اجازه داده تا با تزریق فایل ویدئویی از طریق آدرس اینترنتی اثبات مفهومی بااستفاده از مرورگر وب، یک هشدار اضطراری جعلی را پخش کند، درحالیکه تلویزیون یک سخنرانی از استیوجابز نمایش میدهد.
اگرچه نیاز به داشتن دسترسی به شبکهی وایفای قربانی بهطور پیشفرض این تهدید را تا حد زیادی محدود میکند، تعداد فزایندهای از آسیبپذیریهای مسیریاب و اینترنت اشیاء همچنان آن را به یک سناریوی حملهی بالقوه برای مهاجمان راه دور تبدیل میکند.
با وجود اینکه به این آسیبپذیری یک شناسهی CVE داده شده است، اما بعید است که وصله شود. بنابراین کاربرانی که تلویزیون هوشمند SUPRA دارند تنها میتوانند با انجام اقداماتی مانند تنظیم یک گذرواژهی قوی، پرهیز از به اشتراکگذاشتن گذرواژهی وایفای با افراد غیرقابل اطمینان و نگهداری سایر دستگاههای هوشمند تحت محافظت یک دیوار آتش یا بدون اتصال به اینترنت، شبکهی وایفای خود را امن نگه دارند.