Sony heeft een ernstig beveiligingslek in een app van de Bravia smart-televisies gedicht waardoor een aanvaller op afstand willekeurige code met rootrechten had kunnen uitvoeren. De kwetsbaarheid, alsmede twee andere minder ernstige lekken, zaten in de Photo Sharing Plus-app.

Via de app is het mogelijk om op de televisie foto's en video's weer te geven die op smartphones, tablets of usb-sticks staan. Drie kwetsbaarheden maakten het mogelijk voor een aanvaller om op afstand en zonder authenticatie de applicatie te laten crashen, het gehele bestandssysteem te doorlopen en willekeurige code met rootrechten uit te voeren. Voorwaarde was wel dat de aanvaller op hetzelfde netwerk als de kwetsbare televisie zat.

Sony werd op 27 maart van dit jaar door onderzoekers van securitybedrijf Fortinet over de kwetsbaarheden geïnformeerd. Op 1 juni begon Sony met het uitrollen van de patch via een Over-The-Air (OTA)-update. Deze OTA-update vereist wel toestemming van de gebruiker en een netwerkverbinding. Op 3 augustus zou de wereldwijde uitrol zijn afgerond, waarna Sony op 30 augustus een advisory over de kwetsbaarheden uitbracht. Vandaag heeft Fortinet besloten de details van de beveiligingslekken openbaar te maken.