xaker

Универсальный пароль для телевизоров Philips

  • вторник, 1 апреля 2014 г. в 03:10:24
http://www.xakep.ru/post/62284/

Некоторые модели «умных» телевизоров Philips допускают подключение по WiFi без авторизации. Уязвимость связана с функцией Miracast, которая в телевизоре включена по умолчанию: для нее действует универсальный пароль “Miracast”.

Зная пароль, к телевизору может подключиться кто угодно, находящийся в зоне действия WiFi, он получит доступ к различным настройкам телевизора, в том числе к файлам конфигурации и содержимому USB-флэшки, если таковая подключена к SmartTV. Если владелец телевизора выходил в интернет через встроенный браузер, то злоумышленник может получить куки с сохраненными сессиями, что позволит ему авторизоваться от имени жертвы на разных сайтах.

Подключившись по WiFi, можно проделать разные забавные трюки, например, показать жертве какое-то фото или видео против ее желания, запустить музыку, которую она не любит, переключить телеканал.

Уязвимость обнаружили специалисты из компании ReVuln. Они опубликовали видео с демонстрацией эксплойта. В видеоролике они смотрят файлы на флэшке и копируют куки от сайта Gmail из кэша веб-браузера.

На видео показан телевизор с прошивкой QF2EU-0.173.46.0, которая установлена во всех моделях Philips SmartTV 2013 года выпуска (6, 7, 8, 9xxx). Есть вероятность, что пароль по умолчанию действует и с другими прошивками.