Bei der Analyse der Sicherheit von Smart-TVs wurde eine Schwachstelle in den aktuellen Geräten von Sony (CVE-2020-28207) entdeckt. Unter anderem ist das Flagship-Model KD-65AF8 betroffen. Ein Angreifer mit physischem Zugriff kann einen präparierten USB3-Stick einstecken, wodurch sich das Gerät nicht mehr starten lässt. Jegliche Zugriffe über die reguläre Fernbedienung oder das lokale Panel sind nicht mehr möglich. Erst durch das Entfernen des Sticks kann der normale Betriebszustand wieder hergestellt werden.

Sony betreibt ein Bug Bounty Programm auf HackerOne. Eine Zusammenarbeit war nicht möglich, da Sony konkrete Anforderungen an Submissions stellt. Unter anderem werden physische Attacken und Denial of Service-Schwachstellen nicht berücksichtigt. Aus diesem Grund sahen wir uns gezwungen, eine unkoordinierte Veröffentlichung durchzuführen. Weitere Informationen zu unserem Vulnerability Dislosure Prozess sind auf unserer Webseite verfügbar.

Links

• https://hackerone.com/sony
• https://secure.sony.net/
• https://twitter.com/mruef/status/1323563150785024001
• https://twitter.com/mruef/status/1323568559482642433
• https://vuldb.com/de/?id.164257
• https://vuldb.com/de/?source_cve.164257

Tags