Три уязвимости в смарт-телевизорах Sony Bravia допускают запуск произвольного кода, получать доступ к структуре папок на их накопителях или атаковать другие устройства в локальной сети.

И всё из-за фотографий

Эксперты по безопасности из компании Fortinet выявили три уязвимости в смарт-телевизорах серии Sony Bravia. Как минимум один из этих «багов» является критическим.

Уязвимости были выявлены экспертами Fortinet ещё в марте 2018 г. Информация о них стала публичной только сейчас, после выпуска Sony надлежащих патчей.

Наиболее серьёзной является уязвимость CVE-2018-16593, допускающая инъекцию команд в проприетарном приложении Sony Photo Sharing Plus. Это приложение позволяет просматривать фотографии, сделанные или просто располагающиеся на смартфонах и планшетах разных производителей, на экране смарт-телевизоров Sony.

Как пояснили эксперты, приложение некорректно обрабатывает имена загруженных медиафайлов. Злоумышленник может этим воспользоваться для подачи произвольных команд системе, что в конечном счёте допускает удалённый запуск произвольного кода или повышения привилегий до уровня root.

Как следствие смарт-телевизор может стать частью ботнета или превратиться в «трамплин» для атак на другие устройства в той же локальной сети.

Условием для успешной атаки является пребывание потенциального злоумышленника в той же локальной сети, что и уязвимый телевизор.

Две другие уязвимости также затрагивают приложение Photo Sharing Plus. Степень их угрозы высокая, но не критическая.

Некритичные, но…

Первая из них — CVE-2018-16595 — может приводить к нарушению целостности данных в оперативной памяти вследствие недостаточной проверки вводимых пользователем значений.

Вторая уязвимость — CVE-2018-16594 — относится к классу «обход каталога». Она связана с некорректной обработкой имён файлов. Злоумышленник может загрузить в систему файл со специальным именем и получить доступ ко всем файлам в системе.

Уязвимости затрагивают восемь моделей Sony Bravia: R5C, WD75, WD65, XE70, XF70, WE75, WE6 и WF6.

Эксперты Fortinet утверждают, что установка обновлений на телевизоры Bravia требует отдельного одобрения пользователя. В Sony, однако, настаивают, что все обновления устанавливаются автоматически.

Смарт-телевизоры Bravia — далеко не первые устройства подобного рода, в которых обнаруживаются серьёзные уязвимости, в том числе, допускающие запуск произвольного кода или даже захват контроля над всем устройством. Ранее в этом году эксперты упоминали подобные уязвимости в смарт-телевизорах Samsung и TCL. Вполне вероятно, что сходные проблемы встречаются и у других производителей.

«Смарт-телевизоры как класс имеют много черт, которые роднят их с другими устройствами «интернета вещей», и в хорошем, и в плохом смысле, — отмечает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. — Общей проблемой для «интернета вещей» является довольно поверхностное отношение разработчиков смарт-устройств к безопасности программных оболочек и встроенных приложений. Как следствие, эти устройства оказываются наилучшим кандидатом на роль «точки входа» в локальную сеть для киберзлоумышленников».

Источник: cnews.ru