Kdo máte TCL Android TV doporučuji prozatím odpojit od internetu a případně změnit hesla ke službám do kterých jste se na těchto čínských štěnicích přihlašovali. Nebo minimálně tam nedělat nic citlivého, mít připojené jen do sítě pro hosty, a na firewallu routeru pro tyto TV velmi striktně povolit jen naprosto nutné IP adresy a služby aby vám běžel dejme tomu Netflix nebo Youtube.
Kritické bugy např. CVE-2020-27403 co tam @sickcodes před pár týdny objevili a snažili se je víceméně marně TCL nahlásit úspěšně zametají pod koberec a já teď přišel na to, že jednu z těch kritických děr patrně opravují tak, že webserver co exponuje jakékoli neprivilegované aplikaci v televizi (a dříve i komukoli na celé LAN) úplně celý filesystem jen přesunuli o pár portů vedle aby to už vypadalo, že CVE je vyřešené.
Víc s objeviteli původních zranitelností řeším na
https://twitter.com/brozkeff/status/1332850973778333697 a možná se to podaří rozmáznout i v médiích.
Prakticky zranitelnost, i pokud by webserver exponující filesystem s root právy byl už nabindován jen na localhost a ne i na LAN IP jako předtím je pořád zásadní problém. Jak @sickcodes na Twitteru vysvětluje, "if anyone is wondering why this is extraordinary, it's because it allows apps to view photos, possibly read SMS, access location data, browsing history, etc. But without asking for Android permissions to do so"