TCL 的 Android 智能电视曝出允许远程控制的漏洞

两位安全研究人员披露了 TCL 制造的 Android 智能电视的两个漏洞，TCL 已通过遥测方法在 11 月初修复了这些漏洞。其中一个漏洞编号 CVE-2020-27403 允许邻近网络的攻击者通过运行在 7989 端口的 web server 访问和下载敏感文件，包括大部分系统文件、照片、个人数据和连接应用的安全令牌。另一个漏洞编号 CVE-2020-28055 位于 TCL 软件中，允许本地非特权用户读写文件系统内的重要供应商资源目录，其中包括升级文件夹。受影响的 TCL 智能电视多达数百万。