Форум по программам и оборудованию > >

Уязвимости в смарт-телевизорах Sony раскрывают пароль Wi-Fi

27.06.2019 9:26


19.05.2019 20:34
Occul
 



«Умные» телевизоры Sony Smart TV, работающие на платформе Android, содержат две уязвимости, позволяющие получить доступ к Wi-Fi и мультимедийному контенту, содержащемуся на устройстве. Проблемы затрагивают в том числе флагманскую линейку Bravia.

Баги связаны с приложением Photo Sharing Plus в Sony Smart TV, предназначенном для загрузки фотографий и мультимедийного контента со смартфона. Первая уязвимость (CVE-2019-11336) позволяет атакующему без авторизации извлечь пароль Wi-Fi, создаваемый при запуске Photo Sharing Plus. С помощью второй проблемы (CVE-2019-10886) неавторизованный злоумышленник может прочитать файлы, в том числе изображения в программном обеспечении устройства.

В первом случае при запуске приложение фактически превращает телевизор в точку доступа Wi-Fi и отображает пароль, позволяющий пользователям подключаться и обмениваться медиаконтентом, поясняют исследователи из xen1thLabs. Таким образом у злоумышленника есть возможность извлечь пароль, хранимый в виде простого текста, из логов API Photo Sharing Plus, доступ к которому легко получить из домашней или корпоративной сети.

Вторая уязвимость заключается в том, что по умолчанию приложение хранит файлы в директории ‘/data/user/0/com.sony.dtv.photosharingplus/files/_BRAVPSS.TMP/’. Более того, обращение по встроенному web-адресу
Код:
http://[ip_tv]:10000/contentshare/image/
позволяет получить доступ к корневой директории и файлам, включая пароль. В любом из случаев атакующие могут загрузить собственное содержимое или украсть контент, принадлежащий владельцам телевизоров.

Компания Sony уже исключила уязвимое приложение из состава своих смарт-телевизоров. Список уязвимых моделей устройств доступен здесь
20.05.2019 07:45
OlegON
 
Цитата:
Occul Таким образом у злоумышленника есть возможность извлечь пароль, хранимый в виде простого текста, из логов API Photo Sharing Plus, доступ к которому легко получить из домашней или корпоративной сети.
Т.е. проблема в том, что пароль от сети можно посмотреть, находясь в этой сети? Расходимся...

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.