頻道欄目
首頁 > 資訊 > 網絡安全 > 正文

谷歌坐視不理Chromecast漏洞多年

19-01-03        來源:[db:作者]  
收藏   我要投稿
據外媒報道,幾年前,谷歌曾被警告其Chromecast流媒體電視棒存在漏洞,但它一直沒有理會,F在,黑客正在利用這個漏洞。安全研究人員說,如果不趕緊修復這個漏洞,情況可能會變得更糟。

一位名叫“長頸鹿黑客”(Hacker Giraffe)的黑客成為了最新一個利用這個漏洞的人。他可以誘使谷歌Chromecast流媒體電視棒播放任何他們想要觀看的任何YouTube視頻——包括定制視頻。這一次,這個黑客劫持了數千個Chromecast,迫使它們在與其連接的電視上顯示一個彈出通知,警告用戶他們的路由器配置出錯,正在向他這樣的黑客暴露他們的Chromecast和智能電視。

這個黑客還不失時機地要求你訂閱PewDiePie——這是一個YouTube游戲主播的頻道,有一大群YouTube粉絲。(他也曾通過黑客技術騙取數千臺被感染病毒的打印機打印支持PewDiePie的傳單。)

這個名為CastHack的漏洞利用了Chromecast和它所連接的路由器的弱點。一些家庭路由器啟用了通用即插即用(UPnP)協議,這是一種可通過多種方式利用的網絡標準。UPnP協議將端口從內部網絡轉發到互聯網上,從而使得黑客可以在互聯網上查看和訪問Chromecast和其他設備。

正如“長頸鹿黑客”所說,禁用UPnP協議應該可以解決這個問題。

谷歌的一位發言人稱:“我們收到了用戶的報告,這些用戶通過Chromecast電視棒在電視上播放了未經授權的視頻。這不只是Chromecast的問題,由于路由器的設置問題,包括Chromecast在內的所有智能設備可以被公開訪問。”

谷歌說的不錯,但是它沒有解決這個存在多年的漏洞,導致任何人都可以訪問Chromecast,劫持流媒體視頻,顯示任何他們想看的任何內容,因為Chromecast并不會確認某人是否有權更換流媒體視頻。

幾年前就發現的漏洞

2014年,在Chromecast發布后不久,安全咨詢公司Bishop Fox就首次發現了這個漏洞。該公司的研究人員發現,他們可以進行“deauth”攻擊,將Chromecast與其連接的Wi-Fi網絡斷開,使其恢復到開箱即用狀態,等待一部設備告訴它要連接的位置和播放什么視頻內容。在這個時候,它可以被劫持,并被迫播放劫持者想要觀看的任何內容。所有這一切都可以在瞬間完成——就像他們演示的那樣——只需在一部定制的手持遙控器上輕觸一下按鈕即可。

兩年后,英國網絡安全公司Pen Test Partners發現Chromecast仍然容易受到“deauth”攻擊,你只需幾分鐘就可以輕易用鄰居家的Chromecast播放視頻內容。

Pen Test Partners公司創始人肯-蒙羅(Ken Munro)表示,由于Bishop Fix公司在2014年就發現了這個漏洞,而他的公司在2016年又測試了這個漏洞,因此“別人偶然發現它并不奇怪”。

谷歌在隨后的一封電子郵件中表示,它正在努力修復deauth漏洞。

他說,網絡攻擊的方式各不相同,但利用漏洞的方法基本一樣。CastHack漏洞可以在互聯網上被利用,而Bishop Fox公司及其deauth攻擊可以利用Wi-Fi網絡來執行——然而,這兩種攻擊都會讓黑客控制Chromecast,在與Chromecast連接的電視上播放他們想要播放的任何。

修復漏洞刻不容緩

蒙羅說,谷歌在2014年被告知這個漏洞的時候就應該著手解決它。

他說:“允許別人在沒有認證的情況下控制本地網絡,谷歌這樣的設置非常愚蠢。因為用戶經常會做一些愚蠢的事情,比如在互聯網上曝光他們的智能電視,黑客就能夠從中找到漏洞并加以利用。”

在惡意黑客發現和利用這個漏洞前,長頸鹿黑客就警告用戶注意這些問題,并提供了如何修復的建議。

但蒙羅說,黑客通過這類攻擊活動可以產生更嚴重的后果。

在周三的一篇博文中,蒙羅說,通過劫持Chromecast并迫使它播放足夠大聲的指令,從而可以輕易控制其他智能家居設備,比如亞馬遜Echo智能音箱。這種情況以前也曾發生過,當聰明的語音助手在無意中聽到電視或收音機上的聲音時,它們會感到困惑,并且在沒有任何警告信息的情況下突然從亞馬遜訂購商品。

蒙羅說,黑客可以強迫Chromecast播放黑客創建的YouTube視頻,以欺騙Echo智能音箱:“Alexa,訂購一臺iPad”,或者,“Alexa,關掉房屋警報”,或者“Alexa,每天凌晨3點設置警報。”

亞馬遜Echo和其他智能設備被廣泛認為是安全的,即使它們傾向于偷聽本不該聽到的東西。蒙羅在他的博客文章中說,通常最薄弱的安全環節是人類,其次才是智能家居設備。最近,加拿大安全研究員蘭德爾-曼(Render Man)演示了如何在窗戶上使用聲音傳感器來誘騙附近的亞馬遜Echo解鎖一棟房子前門上的聯網智能鎖。

蒙羅說:“谷歌需要立即地修復Chromecast的deauth漏洞。”

相關TAG標簽
上一篇:臺積電:絕大多數7nm客戶都會轉向6nm_IT新聞_博客園
下一篇:最后一頁
相關文章
圖文推薦

關于我們 | 聯系我們 | 廣告服務 | 投資合作 | 版權申明 | 在線幫助 | 網站地圖 | 作品發布 | Vip技術培訓 | 舉報中心

版權所有: 紅黑聯盟--致力于做實用的IT技術學習網站

美女MM131爽爽爽毛片