Через умные телевизоры Sony можно взломать домашнюю сеть

И всё из-за фотографий Эксперты по безопасности из компании Fortinet выявили три уязвимости в смарт-телевизорах серии Sony Bravia. Как минимум один из этих «багов» является критическим. Уязвимости были выявлены экспертами Fortinet ещё в марте 2018 г. Информация о них стала публичной только сейчас, после выпуска Sony надлежащих патчей. Наиболее серьёзной является уязвимость CVE-2018-16593, допускающая инъекцию команд в проприетарном приложении Sony Photo Sharing Plus. Это приложение позволяет просматривать фотографии, сделанные или просто располагающиеся на смартфонах и планшетах разных производителей, на экране смарт-телевизоров Sony. Как пояснили эксперты, приложение некорректно обрабатывает имена загруженных медиафайлов. Злоумышленник может этим воспользоваться для подачи произвольных команд системе, что в конечном счёте допускает удалённый запуск произвольного кода или повышения привилегий до уровня root. «Дыры» в смарт-ТВ Sony Bravia позволяют запускать произвольный код и атаковать другие устройства в локальной сети Как следствие смарт-телевизор может стать частью ботнета или превратиться в «трамплин» для атак на другие устройства в той же локальной сети. Условием для успешной атаки является пребывание потенциального злоумышленника в той же локальной сети, что и уязвимый телевизор. Две другие уязвимости также затрагивают приложение Photo Sharing Plus. Степень их угрозы высокая, но не критическая. Некритичные, но… Первая из них - CVE-2018-16595 - может приводить к нарушению целостности данных в оперативной памяти вследствие недостаточной проверки вводимых пользователем значений. Вторая уязвимость - CVE-2018-16594 - относится к классу «обход каталога». Она связана с некорректной обработкой имён файлов. Злоумышленник может загрузить в систему файл со специальным именем и получить доступ ко всем файлам в системе. Уязвимости затрагивают восемь моделей Sony Bravia: R5C, WD75, WD65, XE70, XF70, WE75, WE6 и WF6. Эксперты Fortinet утверждают, что установка обновлений на телевизоры Bravia требует отдельного одобрения пользователя. В Sony, однако, настаивают, что все обновления устанавливаются автоматически. Смарт-телевизоры Bravia - далеко не первые устройства подобного рода, в которых обнаруживаются серьёзные уязвимости, в том числе, допускающие запуск произвольного кода или даже захват контроля над всем устройством. Ранее в этом году эксперты упоминали подобные уязвимости в смарт-телевизорах Samsung и TCL. Вполне вероятно, что сходные проблемы встречаются и у других производителей. «Смарт-телевизоры как класс имеют много черт, которые роднят их с другими устройствами «интернета вещей», и в хорошем, и в плохом смысле, - отмечает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. - Общей проблемой для «интернета вещей» является довольно поверхностное отношение разработчиков смарт-устройств к безопасности программных оболочек и встроенных приложений. Как следствие, эти устройства оказываются наилучшим кандидатом на роль «точки входа» в локальную сеть для киберзлоумышленников». Ссылка на источник