Sony Bravia-smart-tv's hadden kwetsbaarheid in foto-app

Sony en beveiligingsbedrijf Fortinet adviseren bezitters van Bravia-tv's met de Photo Sharing Plus de firmware te updaten. De foto-applicatie op de tv's bevat een kwetsbaarheid die op afstand is uit te buiten.

Sony maakte onlangs bekend dat er wegens een veiligheidsprobleem met de Photo Sharing Plus-app nieuwe firmware is verschenen voor de Bravia-modellen R5C, WD75, WD65, XE70, XF70, WE75, WE6 en WF6. De app stelt gebruikers in staat foto's en video vanaf smartphone of tablet op te weer te geven.

De applicatie bleek vatbaar voor stack buffer overflows, directory traversal en command injectie, waardoor kwaadwillenden zonder authenticatie code kunnen uitvoeren op de tv's, met verhoogde rechten. De aanvaller moet wel al toegang tot hetzelfde netwerk hebben als dat waarmee de tv verbonden, wat de impact beperkt.

Fortinet publiceert de details over de kwetsbaarheid nu Sony de distributie van de ota-update heeft afgerond. Het beveiligingsbedrijf ontdekte het probleem op 27 maart en op 3 april begon Sony met de ontwikkeling van een patch, die vanaf 1 juni ota werd aangeboden.

Sony Bravia KDL-49WD757S Zilver

Reacties (36)

Pepsichoco 4 oktober 2018 19:08

Mijn Bravia heeft zelfs geen internet aansluiting en dat is prima zo. Mijn mogelijk volgende tv moet niet meer zijn dan enkel een display. Hoe minder software, hoe beter.

tweakkjoost @Pepsichoco • 5 oktober 2018 01:05

Ik vind plex, youtube en netflix uitstekende software voor een tv...

t link @tweakkjoost • 5 oktober 2018 09:04

Ik niet, want dat kan je prima in een los kastje draaien. hoe meer je dit soort dingen onder een ding samenbrengt hoe meer problemen je krijgt. de enige reden dat losse kastjes niet samen werken is omdat commerciele bedrijven weigeren goed samen te werken over communicatieprotecollen. dat is waarom 'standaarden' als HDMI z'n bende zijn.

tweakkjoost @t link • 5 oktober 2018 11:14

Ik wil juist zo weinig mogelijk 'losse kastjes'. Met een ziggo smartcard in de tv en de apps op de tv hoeft er maar 1 apparaat aan, de tv.

t link @tweakkjoost • 5 oktober 2018 16:50

In praktijk zouden die losse kastjes netzoals een ziggo smartcard werken, wat namelijk ook gewoon een kleine computer is. het punt is juist dat die ziggo smartcard wel goed geintegreerd is op zn manier dat hij makkelijk geupgrade kan worden zonder dat je een nieuwe tv hoeft te kopen. Je kan al apparaten aan en uit zetten via een centraal apparaat met HDMI CEC, alleen is dit een halfbakke implementatie die elke fabrikant net op een eigen manier invoert en niet met oog voor robustheid is gemaakt. afstandsbedieningen zijn ook al jaren een gezeik puur omdat fabrikanten WEIGEREN universele volledige controle standaarden te implementeren, dan hoef je namelijk niet meer hun ecosysteem te kopen. Wat mij betreft mag de EU daar net zo hard ingrijpen als dat ze deden bij smartphone opladers. De nieuwe "smart card" voor tv's gaat ook ontwikkeld worden door ETSI, een van de drie door europa erkende autoriteiten (ESOs) op het gebied van europese standaarden.

[Reactie gewijzigd door t link op 25 juli 2024 09:08]

Boy @tweakkjoost • 5 oktober 2018 14:40

Dat Youtube/Netflix standaard geinstalleerd staat, prima...maar zo'n foto applicatie, dat wil ik dan zelf wel inschakelen/installeren.

Nu ik erover denk, dan maar allemaal hetzelfde en Youtube/Netflix ook in/uitschakelbaar/deinstalleerbaar maken...gewoon zodat je TV alleen apps draait die je zelf vertrouwd

Pepsichoco @tweakkjoost • 5 oktober 2018 16:12

Die heb ik in mijn NVidia Shield tv. Een TV moet gewoon beeld geven, meer niet. Mijn geluid komt altijd door mijn Denon 7.2.

Nas T @Pepsichoco • 4 oktober 2018 21:46

Op zich is het een prima idee, om software aan de televisie toe te voegen.
Alleen dan is het wel handig om de hardware waar de software op draait te kunnen upgraden, er een degelijk ecosysteem gebruikt wordt en wat privacy respecteert.
Wat mij betreft voldoet geen enkele smart t.v. aan deze eisen en dat faalt zelfs al bij dure OLED modellen van bijna €3000 waar de fabrikant zelfs een trage SoC in durft te plaatsen ...
(hetzelfde geldt wat mij betreft voor advertenties binnen "smart" apps of de interface van dure televisies).

Ik vraag me oprecht af of een televisie slechter wordt verkocht als het geen smart-functionaliteit zou bieden. Ik zou liever zien dat de fabrikanten het achterwege laten en een HDMI-stick op basis van android en een snelle SoC als optie zouden kunnen meeleveren.

flowerp @Nas T • 4 oktober 2018 21:59

Het is wel apart dat sinds jaar en dag alle top modellen van fabrikanten steevast met de traagste SoC komen waar ze nog net mee weg lijken te kunnen komen.

Dit is geen incident, maar gebeurd keer op keer bij elke fabrikant. Vreemd...

Caelestis @flowerp • 4 oktober 2018 22:05

Minder ontwikkelingskosten en na 2 jaar ben je er helemaal klaar mee dat je misschien nadien kijkt voor een nieuwe televisie met weer de nieuwste features. Doen ze ook met auto's is niks nieuws.

Dan0sz @Nas T • 5 oktober 2018 00:13

Ik ben persoonlijk voor alles modulair. Waarom zou een bedrijf als Sony, die zo goed is in het maken van displays (persoonlijke mening) zich bezig houden met TVs voorzien van Android TV? Als een bedrijf als Nvidia zo goed is in het voorzien van TVs van Android TV (persoonlijke mening)?

Ik hoop (persoonlijk) dat er een 8K 'dumb' TV uitkomt, zodat ik m'n Nvidia Shield aan kan sluiten en met veel plezier (en al m'n instellingen, etc. behouden) verder kan kijken.

amigob2 @Nas T • 5 oktober 2018 04:30

NEC is/was op de goede weg
https://www.nec-display-s...berryPi/RaspberryPi.xhtml
https://www.youtube.com/w...continue=40&v=KO7p7cUbZQQ

[Reactie gewijzigd door amigob2 op 25 juli 2024 09:08]

W00fer 4 oktober 2018 18:29

Even de andere kant op gedacht, is dit niet handig voor homebrew development?

EraYaN @W00fer • 4 oktober 2018 18:34

Jammer dat je het niet kunt controleren. En met de staat van veel routers die mensen van ISPs krijgen... Niet een super goed idee.

lepel @EraYaN • 4 oktober 2018 19:23

Gewoon homebrew op draaien die je wel root geeft maar daarna ook de kwetsbaarheid oplost. Dat gebeurde ook altijd met iPhone jailbreaks.

iew @EraYaN • 5 oktober 2018 13:15

Inderdaad, tegenwoordig draait alles zogenaamd om "veiligheid", laten ze providers eerst maar eens gaan verplichten om degelijke en veilige hardware/software te leveren.
Maar ja..., consumptie maatschappij en het "eigen verantwoordelijkheid" geroep doemt dan weer op, en dat in een zogenaamde "participatie maatschappij".

Het is maar net hoe het uit komt...

AmbroosV

Sony

@W00fer • 4 oktober 2018 22:09

Aangezien alle recente Sony's (sinds 2015 denk ik) op Android draaien zou dat wel interessant zijn. (Ook de modellen zonder Android TV draaien Android under the hood.)

W00fer @AmbroosV • 5 oktober 2018 13:18

Hoe bedoel je Android under the hood?

AmbroosV

Sony

@W00fer • 5 oktober 2018 16:41

Het OS van de TV UI is Android. Als je bij help/ondersteuning naar licenties gaat zie je ineens Android verschijnen. Homebrew software draaien zou daardoor vlot kunnen gaan, de kans zit er namelijk in dat je Android apps kan draaien.

bousix 4 oktober 2018 18:42

en nu maar hopen dat alle soortgelijke problemen binnen twee á drie jaar jaar -dus na aankoop- worden ontdekt, want daarna geen firmware updates meer.

sumac 4 oktober 2018 19:35

Het lijkt me veel verstandiger een tv meer als monitor te gebruiken, en de "smart" dingen aan externe apparaten over te laten, bv het kastje van de provider, dan wel Apple TV of Chromecast. Ik heb een tv met LAN, maar zal dit ding nooit op het netwerk aansluiten. Geen idee wat voor informatie er naar de fabrikant gestuurd gaat worden. Ik hoef geen Youtube of Netflix op de tv zelf. Daar zijn betere manieren voor.

R4gnax 4 oktober 2018 21:21

die vanaf 1 juni ota werd aangeboden.

Ik heb een XE90-serie toestel en heb ook een patch gehad die de Photo Sharing Plus app er nota-bene compleet af gooit. Origineel begon Sony de patch in kwestie in juni uit te rollen, maar deze werd heel snel wegens problemen ingetrokken en kwam daarna op deze serie pas maaa-----nden later opnieuw beschikbaar. Patch-versie hier in de Benelux is v6.5629, datum 5 september. Pas rond 15 september kreeg ik hem OTA binnen.

Lijkt me geen toeval dat de app en andere functies die er aan verbonden zijn zoals MTP, ook hier verwijderd zijn. Zal ook gewoon lek geweest zijn - maar mss. met minder impact. (Kan zijn dat je bijv. op dit systeem er geen root mee kunt krijgen?) Of wellicht zo lek dat ze uiteindelijk het hele ding maar opgegeven hebben.

Roep al langer dat Sony's update-beleid een aanfluiting is; dat ze lang; lang achterlopen met security updates. Maar dit is persoonlijk voor mij de druppel. Als er inderdaad een security-probleem was met een niet-kritieke systeem-app, en je kunt het niet fixen, dan breng je godverdomme meteen een losse patch uit die de app intrekt. Dat ga je niet maandenlang uitstellen; zeker niet als de rest van de TV nog op een redelijk vulnerable Android patch level van een half jaar eerder zit en bij lange niet courant is.

Had toch al voldoende andere problemen met deze TV, waaronder gezeik met audio die out-of-sync gaat; de OSD voor zenderkeuze die op HDMI apparaten te pas en te onpas terug in beeld ploft; en nog meer.
Zat al te overwegen om hem retour te doen aangezien patches voor deze issues na herhaaldelijk verzoek aan Sony's adres uitblijven. Uiteindelijk dus toch maar eens deze TV retour gaan doen en een Samsung neerzetten zonder internet-verbinding, met een ShieldTV er bij voor de smart apps.

[Reactie gewijzigd door R4gnax op 25 juli 2024 09:08]

kodak @R4gnax • 4 oktober 2018 23:08

En welke XE serie toestel is dat precies? Want de enige kwetsbare serie is de XE70. De toestellen uit die serie hebben niet het versienummer waar jij het over hebt. Die lijkt te horen bij de XE80 serie.

R4gnax @kodak • 4 oktober 2018 23:32

En welke XE serie toestel is dat precies? Want de enige kwetsbare serie is de XE70. De toestellen uit die serie hebben niet het versienummer waar jij het over hebt. Die lijkt te horen bij de XE80 serie.

XE90 en daar is de hele app nota bene compleet verwijderd.
Samen met de MTP functionaliteit.

Kunt er donder op zeggen dat het gewoon dezelfde app was, en op andere toestellen dus ook gewoon lek was. Wellicht enkel wat meer hoepels vereisend om verdere toegang te verkrijgen mbv code execution, dankzij betere sandboxing oid.

[Reactie gewijzigd door R4gnax op 25 juli 2024 09:08]

Burgertrut @R4gnax • 5 oktober 2018 11:06

Het grote verschil tussen XC 70, en XE 80 en hoger is dat onder de 80 het geen Android toestellen zijn. Mijn XE80 is dat wel. En die staat niet tussen de getroffen modellen. Dus ik denk dat het probleem ligt in het eigen OS dat de modellen onder de XE80 hebben. (Raar dus dat een XE90 ook zoiets heeft)
Mijne heeft zichzelf wel een paar weken geleden geüpdatet.

Resumerend. Ik zie er eigenlijk voor zover mijn kennis over Sony typenummers reikt, geen Androids tussen staan.

R4gnax @Burgertrut • 5 oktober 2018 18:58

Het grote verschil tussen XC 70, en XE 80 en hoger is dat onder de 80 het geen Android toestellen zijn.

De lower-end toestellen delen anders toch een aantal bugs die ook in het duurdere 'wel Android' segment zitten. Doet vermoeden dat ze op dezelfde drivers en Android kernel draaien, maar dat de user-facing laag gewoon in volledige lockdown gezet is door Sony, zodat het 'niet Android' is.

[Reactie gewijzigd door R4gnax op 25 juli 2024 09:08]

monojack 4 oktober 2018 18:51

Veel last zal ik er niet van hebben vermits ik mijn Bravia al een tijdje heb afgesloten van het internet.

Gamebuster 4 oktober 2018 21:09

Ik heb 1x mijn LG tv verbonden met wifi en nu kan ik de wifi niet uitschakelen... wtf

STFU 4 oktober 2018 21:52

Ik hoop dat het HADDEN is, want mijn Sjonnie-TV crasht geheid als je de foto-app een directory met meer dan 200 foto's oid voert.

R4gnax @STFU • 4 oktober 2018 22:03

Ik hoop dat het HADDEN is, want mijn Sjonnie-TV crasht geheid als je de foto-app een directory met meer dan 200 foto's oid voert.

Op mijn TV is de betreffende Photo Sharing Plus app is in de firmware update van 5 september verwijderd. Dus dat probleem heb je - op sommige modellen tenminste - in elk geval niet meer.

(Weet ik dus ook gelijk weer wat de reden was achter het verwijderen van de app in die firmware update. Dikke kans dat de MTP functionaliteit die er ook in verwijderd wordt, ook onderdeel van het probleem was.)

[Reactie gewijzigd door R4gnax op 25 juli 2024 09:08]

Tjark @R4gnax • 5 oktober 2018 09:14

Komen we dus weer terug op 't probleem dat je een apparaat koopt met bepaalde functionaliteit, en dat na je aankoop de fabrikant die functionaliteit verwijderd.... Zou wat zijn als Volkswagen je airco uit zet na 2 jaar...

FastRDust @Tjark • 5 oktober 2018 11:00

deed sony ookal met de ps3, je kan er linux opzetten, ps2 en ps1 games op afspelen.
en de nieuwere versies ( van the ps3 phat nog steeds) ondersteunde geen linux meer, ps2 en ps1 games worden niet meer afgelezen.

Verwijderd 4 oktober 2018 18:41

En daarom sluit ik nooit een TV op het internet aan. Laat de techniek maar eerst bewezen veilig zijn en niet op afstand te exploiten valt.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 09:08]

ToolBee @Verwijderd • 4 oktober 2018 18:46

Valt mee hoor. Meestal doet je TV het pas optimaal nádat je een firmware update hebt gehad.

Daarná laat je de netwerkkabel er uit. Je TV zal alleen even "naar huis bellen" en de srever van de fabrikant bezoeken. (Sta je ook gelijk geregistreerd voor de garantie).
Hackers vinden je TV pas als ze je netweerk bewust scannen op open poorten o.i.d.

PalingDrone @ToolBee • 4 oktober 2018 21:02

Updates van Sony kan je vaak op je pc downloaden en vervolgens je tv rebooten met die USB stick erin om je tv te updaten.
Dan heb je ook geen internet op je toestel nodig maar geniet je wel van de verbeteringen in de software.
Tot nog toe heb ik bij een wat ouder en blijkbaar niet door deze bug getroffen toestel van Sony geen verslechteringen gemerkt door updates, integendeel, de UI draait flink soepeler dan toen mijn toestel in 2015 uit kwam.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (36)

Sorteer op:

Weergave: