CVE-2021-38544

Dispositivos Sony SRS-XB33 e SRS-XB43 até 09/08/2021

A vulnerabilidade permite que invasores remotos recuperem sinais de voz a partir de um LED no dispositivo, por meio de um telescópio e um sensor eletro-óptico, também conhecido como ataque “Glowworm”. O LED indicador de energia dos alto-falantes está conectado diretamente à linha de alimentação, fazendo com que a intensidade do LED indicador de energia do dispositivo seja correlacionada ao consumo de energia. O som reproduzido pelos alto-falantes afeta seu consumo de energia e também é correlacionado à intensidade da luz dos LEDs. Ao analisar medições obtidas de um sensor eletro-óptico direcionado aos LEDs indicadores de energia dos alto-falantes, é possível recuperar o som reproduzido por eles.

Para os dispositivos Sony SRS-XB33 e SRS-XB43 até 09/08/2021, considere desativar o LED indicador de energia para minimizar o risco de exploração, uma vez que ele está diretamente conectado à linha de alimentação e sua intensidade é correlacionada ao consumo de energia. Restrinja o acesso ao LED indicador de energia do dispositivo para impedir que invasores remotos usem um sensor eletro-óptico para recuperar sinais de voz. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.