نفوذ مهاجمان به تلویزیون هوشمند SUPRA از طریق آسیب‌پذیری جدید آن

از آن‌جا که امروزه دستگاه‌های هوشمند بیشتری در سراسر جهان به فروش می‌رسد، مشتریان باید از خطرات امنیت و حریم خصوصی مربوط به دستگاه‌های هوشمند مطلع باشند. تلویزیون‌های هوشمند یکی از دستگاه‌های بسیار تکامل یافته هستند مخصوصاً زمانی‌که به اینترنت متصل می‌شوند و گزینه‌های زیادی مانند تماشای فیلم، مرور اینترنت، بازی و ذخیره‌ی فایل‌ها را در اختیار کاربران قرار می‌دهند. همچنین از نظر فنی به کاربر اجازه می‌دهند تا مانند یک رایانه‌ی شخصی همه‌ی کارهای خود را انجام دهند.

طی چند سال گذشته، گزارش‌هایی درباره‌ی این‌که چگونه از تلویزیون‌های هوشمند برای جاسوسی از کاربران نهایی بدون اطلاع و رضایت آن‌ها استفاده می‌شود و چگونه نفوذگران راه دور بدون داشتن دسترسی فیزیکی به کنترل کامل تلویزیون‌های هوشمند دست پیدا می‌کنند و چگونه آسیب‌پذیری‌های موجود در تلویزیون‌های هوشمند به نفوذگران اجازه نفوذ می‌دهد، منتشر شده است.

به‌تازگی در تلویزیون‌های هوشمندی که با نام تجاری SUPRA به فروش می‌رسند، یک آسیب‌پذیری گنجاندن فایل از راه دور کشف شده است که به مهاجمان وای‌فای اجازه می‌دهد تا ویدئوهای جعلی را بدون احراز هویت در تلویزیون به صفحات تلویزیون‌ها ارسال کنند و برای کاربران نمایش دهند. SUPRA یک نام تجاری روسی است که تجهیزات صوتی و تصویری، لوازم خانگی و قطعات الکترونیکی خودرو را تولید می‌کند که بیشتر آن‌ها از طریق وب‌گاه‌های تجارت الکترونیک روسیه، چین و امارات متحده‌ی عربی عرضه می‌شود.

آسیب‌پذیری با شناسه‌ی CVE-2019-12477 توسط Dhiraj Mishra کشف شده است که در تابع «openLiveURL» متعلق به تلویزیون ابری هوشمند SUPRA وجود دارد و ناشی از عدم وجود احراز هویت یا مدیریت نشست است. همان‌طور که در آدرس اینترنتی اثبات مفهومی نشان داده شده است، این آسیب‌پذیری به مهاجم محلی اجازه می‌دهد تا یک فایل راه دور را پخش کند و ویدئوهای جعلی را بدون احراز هویت نمایش دهد.

به‌گفته‌ی پژوهش‌گران، هنگامی‌که یک کاربر قانونی درحال تماشای فیلم است، مهاجم از آسیب‌پذیری گنجاندن فایل از راه دور استفاده می‌کند و به کنترل کامل تلویزیون دست پیدا می‌کند و می‌تواند هر فایلی را پخش کند و برای کاربر نمایش دهد. همان‌طور که Dhiraj  نشان داده، این بهره‌برداری به او اجازه داده تا با تزریق فایل ویدئویی از طریق آدرس اینترنتی اثبات مفهومی بااستفاده از مرورگر وب، یک هشدار اضطراری جعلی را پخش کند، درحالی‌که تلویزیون یک سخن‌رانی از استیوجابز نمایش می‌دهد.

اگرچه نیاز به داشتن دسترسی به شبکه‌ی وای‌فای قربانی به‌طور پیش‌فرض این تهدید را تا حد زیادی محدود می‌کند، تعداد فزاینده‌ای از آسیب‌پذیری‌های مسیریاب و اینترنت اشیاء همچنان آن را به یک سناریوی حمله‌ی بالقوه برای مهاجمان راه دور تبدیل می‌کند.

با وجود این‌که به این آسیب‌پذیری یک شناسه‌ی CVE داده شده است، اما بعید است که وصله شود. بنابراین کاربرانی که تلویزیون هوشمند SUPRA دارند تنها می‌توانند با انجام اقداماتی مانند تنظیم یک گذرواژه‌ی قوی، پرهیز از به اشتراک‌گذاشتن گذرواژه‌ی وای‌فای با افراد غیرقابل اطمینان و نگه‌داری سایر دستگاه‌های هوشمند تحت محافظت یک دیوار آتش یا بدون اتصال به اینترنت، شبکه‌ی وای‌فای خود را امن نگه دارند.

منبع

پست‌های مشابه

Leave a Comment