logo

谷歌多年坐視不管Chromecast漏洞 現遭黑客利用

瀏覽數

99+

Bianews1月3日消息,據Techcrunch報道,黑客正在劫持了數千個Chromecast流媒體電視棒存在的漏洞。該漏洞在幾年前發現的,但谷歌一直沒有理會,現在遭黑客利用。安全研究人員說,如果不趕緊修覆這個漏洞, 將會出現更具破壞性的攻擊。

名為Hacker Giraffe的黑客已成為了最新利用這個漏洞的人。他可以引誘谷歌Chromecast流媒體電視棒播放任何想播放的YouTube內容-包括定制視頻。

這一次,這個黑客劫持了數千個受影響的Chromecast,迫使它們與其連接的電視上顯示一個彈出通知,警告用戶其路由器配置錯誤,正在向他們這樣的黑客暴露用戶的Chromecast和智能電視。另外,這個黑客還要求訂閱YouTube遊戲主播的頻道PewDiePie。

名為CastHack的漏洞利用了Chromecast和它連接的路由器的弱點。一些家用路由器啟用了通用即插即用(UPnP),這是一種可以通過多種方式利用的網絡標準。 UPnP協議將端口從內部網絡轉發到互聯網上,使黑客在互聯網上的任何位置查看和訪問Chromecast和其他設備。

谷歌發言人稱,其收到了用戶通過Chromecast設備在電視上播放未經授權的視頻的報告,這不是專門針對Chromecast的問題,而是路由器設置的結果,從而可以公開訪問Chromecast等智能設備。”

2014年,安全咨詢公司Bishop Fox首次發現了該劫持漏洞。研究人員表示,該漏洞可以進行“deauth”攻擊,將Chromecast與其連接的Wi-Fi網絡斷開連接,使其恢覆到開箱即用的狀態,等待設備告訴它要連接的位置和流媒體內容。

兩年後,英國網絡安全公司Pen Test Partners發現Chromecast仍然容易受到“deauth”攻擊,只需幾分鐘便可在鄰居的Chromecast上播放內容。

Pen Test Partners創始人Ken Munro稱,谷歌在2014年得知這個漏洞的時候就應該著手解決它。黑客通過這類攻擊活動會產生更嚴重的後果,另外,谷歌需要立即地修覆Chromecast的deauth漏洞。

(Bianews編譯  來源:Techcrunch)