谷歌坐视不理Chromecast漏洞多年 现被黑客利用

  • 时间:
  • 浏览:0
  • 来源:大发快三_快三计划师_大发快三计划师

图片来源图虫:已授站长之家使用

腾讯科技讯 据外媒报道,几年前,谷歌曾被警告其Chromecast流媒体电视棒地处漏洞,但它突然没有理会。现在,黑客正在利用你这一漏洞。安全研究人员说,如可让不赶紧修复你这一漏洞,情况报告如可让会变得更糟。

一位名叫“长颈鹿黑客”(Hacker Giraffe)的黑客成为了最新原先利用你这一漏洞的人。他不想 诱使谷歌Chromecast流媒体电视棒播放任何亲戚亲戚朋友 我我应该 观看的任何YouTube视频——包括定制视频。你这一次,你这一黑客劫持了数千个Chromecast,迫使它们在与其连接的电视上显示原先弹出通知,警告用户亲戚亲戚朋友 的路由器配置出错,正在向他原先的黑客暴露亲戚亲戚朋友 的Chromecast和智能电视。

你这一黑客还不失时机地要求你订阅PewDiePie——这是原先YouTube游戏主播的频道,有一大群YouTube粉丝。(他也曾通过黑客技术骗取数千台被感染病毒的打印机打印支持PewDiePie的传单。)

你这一名为CastHack的漏洞利用了Chromecast和它所连接的路由器的弱点。你这一家庭路由器启用了通用即插即用(UPnP)协议,这是两种可通不想 种法律土土办法利用的网络标准。UPnP协议将端口从组织组织结构网络转发到互联网上,从而使得黑客不想 在互联网上查看和访问Chromecast和你这一设备。

正如“长颈鹿黑客”所说,禁用UPnP协议应该不想 正确处理你这一大间题。

谷歌的一位发言人称:“亲戚亲戚朋友 收到了用户的报告,你这一用户通过Chromecast电视棒在电视上播放了未经授权的视频。这不而是Chromecast的大间题,如可让路由器的设置大间题,包括Chromecast在内的所有智能设备不想 被公开访问。”

谷歌说的不错,如可让它没有正确处理你这一地处多年的漏洞,意味着任何人都不想 访问Chromecast,劫持流媒体视频,显示任何亲戚亲戚朋友 看后的任何内容,如可让Chromecast从不想确认某人是否有权更换流媒体视频。

几年前就发现的漏洞

2014 年,在Chromecast发布后不久,安全咨询公司Bishop Fox就首次发现了你这一漏洞。该公司的研究人员发现,亲戚亲戚朋友 不想 进行“deauth”攻击,将Chromecast与其连接的Wi-Fi网络断开,使其恢复到开箱即用情况报告,等待歌曲一部设备告诉它要连接的位置和播放你这一视频内容。在你这一随后,它不想 被劫持,并被迫播放劫持者我我应该 观看的任何内容。所有你这一切都不想 在瞬间完成——就像亲戚亲戚朋友 演示的那样——只需在一部定制的手持遥控器上轻触一下按钮即可。

两年后,英国网络安全公司Pen Test Partners发现Chromecast仍然容易受到“deauth”攻击,你只需几分钟就不想 轻易用来家的Chromecast播放视频内容。

Pen Test Partners公司创始人肯-蒙罗(Ken Munro)表示,如可让Bishop Fix公司在 2014 年就发现了你这一漏洞,而他的公司在 2016 年又测试了你这一漏洞,如可让“别人偶然发现它从不奇怪”。

谷歌在随后的一封电子邮件中表示,它正在努力修复deauth漏洞。

我知道你,网络攻击的法律土土办法各不相同,但利用漏洞的法律土土办法基本一样。CastHack漏洞不想 在互联网上被利用,而Bishop Fox公司及其deauth攻击不想 利用Wi-Fi网络来执行——然而,这两种攻击完会让黑客控制Chromecast,在与Chromecast连接的电视上播放亲戚亲戚朋友 我我应该 播放的任何。

修复漏洞刻不容缓

蒙罗说,谷歌在 2014 年被告知你这一漏洞的随后就应该着手正确处理它。

我知道你:“允许别人在没有认证的情况报告下控制本地网络,谷歌原先的设置非常愚蠢。如可让用户突然会做你这一愚蠢的事情,比如在互联网上曝光亲戚亲戚朋友 的智能电视,黑客就不想 从中找到漏洞并加以利用。”

在恶意黑客发现和利用你这一漏洞前,长颈鹿黑客就警告用户注意你这一大间题,并提供了如可修复的建议。

但蒙罗说,黑客通过类事攻击活动不想 产生更严重的后果。

在周三的一篇博文中,蒙罗说,通过劫持Chromecast并迫使它播放足够大声的指令,从而不想 轻易控制你这一智能家居设备,比如亚马逊Echo智能音箱。你这一情况报告随后也曾地处过,当聪明的语音助手在无意中听到电视或收音机上的声音时,它们会感到困惑,如可让在没有任何警告信息的情况报告下突然从亚马逊订购商品。

蒙罗说,黑客不想 强迫Chromecast播放黑客创建的YouTube视频,以欺骗Echo智能音箱:“Alexa,订购一台iPad”,如可让,“Alexa,关掉房屋警报”,如可让“Alexa,每天夜深 3 点设置警报。”

亚马逊Echo和你这一智能设备被广泛认为是安全的,即使它们倾向于偷听本不该听到的东西。蒙罗在他的博客文章中说,通常最薄弱的安全环节是人类,其次才是智能家居设备。最近,加拿大安全研究员兰德尔-曼(Render Man)演示了如可在窗户上使用声音传感器来诱骗附近的亚马逊Echo解锁一栋房子前门上的联网智能锁。

蒙罗说:“谷歌时要立即地修复Chromecast的deauth漏洞。”(腾讯科技审校/乐学)

声明:本文转载自第三方媒体,如需转载,请联系版权方授权转载。协助申请