Sipru güvenlik açığı

Açık, Doğuş Yayın Grubu tarafından geliştirilen ve 27 Ağustos 2007 tarihinde http://www.ntvmsnbc.com/news/418388.asp adresinde "Türkiyenin ilk masaüstü TV yayını başlıyor" lansmanı ile piyasaya sürülen Sipru adlı programın tüm yayın akışının kesilebilmesine, değiştirilebilmesine ve zararlı içerik yerleştirilebilmesine olanak veren Soap protokolünün kötüye kullanılması ile ortaya çıkıyor.

Açık Client ve Server arasındaki iletişimin plaintext xml formatı ile gerçekleştirilmesinden kaynaklanıyor. Kötü niyetli kullanıcı trafiği dinleyerek ele geçirdiği admin bilgileri ile programa uygun Soap Client verilerini hazırlayarak saldırıyı gerçekleştirebiliyor.

Açığı keşfettiğim anda destek@sipru.com adresine gerekli bilgilendirmeyi yaptım ancak halen beklediğim feedback i alamadığımı belirtmek isterim.