河北码上网络科技|邯郸小程序开发|邯郸微信开发|邯郸网站建设

Internet Develppment
互聯網開發& 推廣服務提供商

我們擅長商業策略與用戶體驗的完美結合。

歡迎瀏覽我們的案例。

首頁 > 新聞中心 > 新聞動態 > 正文

谷歌坐視不理Chromecast漏洞多年 現被黑客利用

發布時間:2019-01-04 15:19:40來源:網絡

  據外媒報道,幾年前,谷歌曾被警告其 Chromecast 流媒體電視棒存在漏洞,但它一直沒有理會。現在,黑客正在利用這個漏洞。安全研究人員說,如果不趕緊修復這個漏洞,情況可能會變得更糟。

  一位名叫“長頸鹿黑客”(Hacker Giraffe)的黑客成為了最新一個利用這個漏洞的人。他可以誘使谷歌 Chromecast 流媒體電視棒播放任何他們想要觀看的任何 YouTube 視頻——包括定制視頻。這一次,這個黑客劫持了數千個 Chromecast,迫使它們在與其連接的電視上顯示一個彈出通知,警告用戶他們的路由器配置出錯,正在向他這樣的黑客暴露他們的 Chromecast 和智能電視。

  這個黑客還不失時機地要求你訂閱 PewDiePie——這是一個 YouTube 游戲主播的頻道,有一大群 YouTube 粉絲。(他也曾通過黑客技術騙取數千臺被感染病毒的打印機打印支持 PewDiePie 的傳單。)

  這個名為 CastHack 的漏洞利用了 Chromecast 和它所連接的路由器的弱點。一些家庭路由器啟用了通用即插即用(UPnP)協議,這是一種可通過多種方式利用的網絡標準。UPnP 協議將端口從內部網絡轉發到互聯網上,從而使得黑客可以在互聯網上查看和訪問 Chromecast 和其他設備。

  正如“長頸鹿黑客”所說,禁用 UPnP 協議應該可以解決這個問題。

  谷歌的一位發言人稱:“我們收到了用戶的報告,這些用戶通過 Chromecast 電視棒在電視上播放了未經授權的視頻。這不只是 Chromecast 的問題,由于路由器的設置問題,包括 Chromecast 在內的所有智能設備可以被公開訪問。”

  谷歌說的不錯,但是它沒有解決這個存在多年的漏洞,導致任何人都可以訪問 Chromecast,劫持流媒體視頻,顯示任何他們想看的任何內容,因為 Chromecast 并不會確認某人是否有權更換流媒體視頻。

  幾年前就發現的漏洞

  2014 年,在 Chromecast 發布后不久,安全咨詢公司 Bishop Fox 就首次發現了這個漏洞。該公司的研究人員發現,他們可以進行“deauth”攻擊,將 Chromecast 與其連接的 Wi-Fi 網絡斷開,使其恢復到開箱即用狀態,等待一部設備告訴它要連接的位置和播放什么視頻內容。在這個時候,它可以被劫持,并被迫播放劫持者想要觀看的任何內容。所有這一切都可以在瞬間完成——就像他們演示的那樣——只需在一部定制的手持遙控器上輕觸一下按鈕即可。

  兩年后,英國網絡安全公司 Pen Test Partners 發現 Chromecast 仍然容易受到“deauth”攻擊,你只需幾分鐘就可以輕易用鄰居家的 Chromecast 播放視頻內容。

  Pen Test Partners 公司創始人肯-蒙羅(Ken Munro)表示,由于 Bishop Fix 公司在 2014 年就發現了這個漏洞,而他的公司在 2016 年又測試了這個漏洞,因此“別人偶然發現它并不奇怪”。

  谷歌在隨后的一封電子郵件中表示,它正在努力修復 deauth 漏洞。

  他說,網絡攻擊的方式各不相同,但利用漏洞的方法基本一樣。CastHack 漏洞可以在互聯網上被利用,而 Bishop Fox 公司及其 deauth 攻擊可以利用 Wi-Fi 網絡來執行——然而,這兩種攻擊都會讓黑客控制 Chromecast,在與 Chromecast 連接的電視上播放他們想要播放的任何。

  修復漏洞刻不容緩

  蒙羅說,谷歌在 2014 年被告知這個漏洞的時候就應該著手解決它。

  他說:“允許別人在沒有認證的情況下控制本地網絡,谷歌這樣的設置非常愚蠢。因為用戶經常會做一些愚蠢的事情,比如在互聯網上曝光他們的智能電視,黑客就能夠從中找到漏洞并加以利用。”

  在惡意黑客發現和利用這個漏洞前,長頸鹿黑客就警告用戶注意這些問題,并提供了如何修復的建議。

  但蒙羅說,黑客通過這類攻擊活動可以產生更嚴重的后果。

  在周三的一篇博文中,蒙羅說,通過劫持 Chromecast 并迫使它播放足夠大聲的指令,從而可以輕易控制其他智能家居設備,比如亞馬遜 Echo 智能音箱。這種情況以前也曾發生過,當聰明的語音助手在無意中聽到電視或收音機上的聲音時,它們會感到困惑,并且在沒有任何警告信息的情況下突然從亞馬遜訂購商品。

  蒙羅說,黑客可以強迫 Chromecast 播放黑客創建的 YouTube 視頻,以欺騙 Echo 智能音箱:“Alexa,訂購一臺 iPad”,或者,“Alexa,關掉房屋警報”,或者“Alexa,每天凌晨 3 點設置警報。”

  亞馬遜 Echo 和其他智能設備被廣泛認為是安全的,即使它們傾向于偷聽本不該聽到的東西。蒙羅在他的博客文章中說,通常最薄弱的安全環節是人類,其次才是智能家居設備。最近,加拿大安全研究員蘭德爾-曼(Render Man)演示了如何在窗戶上使用聲音傳感器來誘騙附近的亞馬遜 Echo 解鎖一棟房子前門上的聯網智能鎖。

  蒙羅說:“谷歌需要立即地修復 Chromecast 的 deauth 漏洞。”
  (邯鄲網絡公司

最新資訊
? 2018 河北碼上網絡科技有限公司 版權所有 冀ICP備18021892號-1   
? 2018 河北碼上科技有限公司 版權所有.
主站蜘蛛池模板: 无锡市珂妮日用化妆品有限公司|珂妮日化官网|洗手液厂家 | 网站建设-临朐爱采购-抖音运营-山东兆通网络科技 | 六维力传感器_三维力传感器_二维力传感器-南京神源生智能科技有限公司 | 高压无油空压机_无油水润滑空压机_水润滑无油螺杆空压机_无油空压机厂家-科普柯超滤(广东)节能科技有限公司 | 新疆乌鲁木齐网站建设-乌鲁木齐网站制作设计-新疆远璨网络 | 苏州注册公司_苏州代理记账_苏州工商注册_苏州代办公司-恒佳财税 | 密度电子天平-内校-外校电子天平-沈阳龙腾电子有限公司 | 楼承板-开闭口楼承板-无锡海逵楼承板| 青岛空压机,青岛空压机维修/保养,青岛空压机销售/出租公司,青岛空压机厂家电话 | 陶氏道康宁消泡剂_瓦克消泡剂_蓝星_海明斯德谦_广百进口消泡剂 | 低合金板|安阳低合金板|河南低合金板|高强度板|桥梁板_安阳润兴 北京租车牌|京牌指标租赁|小客车指标出租 | 叉车电池-叉车电瓶-叉车蓄电池-铅酸蓄电池-电动叉车蓄电池生产厂家 | 微动开关厂家-东莞市德沃电子科技有限公司 | 杭州高温泵_热水泵_高温油泵|昆山奥兰克泵业制造有限公司 | 旅游规划_旅游策划_乡村旅游规划_景区规划设计_旅游规划设计公司-北京绿道联合旅游规划设计有限公司 | 液压油缸-液压缸厂家价格,液压站系统-山东国立液压制造有限公司 液压油缸生产厂家-山东液压站-济南捷兴液压机电设备有限公司 | MOOG伺服阀维修,ATOS比例流量阀维修,伺服阀维修-上海纽顿液压设备有限公司 | 合肥白癜风医院_[治疗白癜风]哪家好_合肥北大白癜风医院 | 达利园物流科技集团-| 钢骨架轻型板_膨石轻型板_钢骨架轻型板价格_恒道新材料 | 呼末二氧化碳|ETCO2模块采样管_气体干燥管_气体过滤器-湖南纳雄医疗器械有限公司 | 玻璃钢板-玻璃钢防腐瓦-玻璃钢材料-广东壹诺 | 英国雷迪地下管线探测仪-雷迪RD8100管线仪-多功能数字听漏仪-北京迪瑞进创科技有限公司 | 龙门加工中心-数控龙门加工中心厂家价格-山东海特数控机床有限公司_龙门加工中心-数控龙门加工中心厂家价格-山东海特数控机床有限公司 | 400电话_400电话申请_888元包年_400电话办理服务中心_400VIP网 | 河南空气能热水器-洛阳空气能采暖-洛阳太阳能热水工程-洛阳润达高科空气能商行 | 政府回应:200块在义乌小巷能买到爱情吗?——揭秘打工族省钱约会的生存智慧 | 欧必特空气能-商用空气能热水工程,空气能热水器,超低温空气源热泵生产厂家-湖南欧必特空气能公司 | 岩棉切条机厂家_玻璃棉裁条机_水泥基保温板设备-廊坊鹏恒机械 | 卸料器-卸灰阀-卸料阀-瑞安市天蓝环保设备有限公司 | 北京模型公司-工业模型-地产模型-施工模型-北京渝峰时代沙盘模型制作公司 | 英国雷迪地下管线探测仪-雷迪RD8100管线仪-多功能数字听漏仪-北京迪瑞进创科技有限公司 | 气体检测仪-氢气检测仪-可燃气体传感器-恶臭电子鼻-深国安电子 | 盘扣式脚手架-附着式升降脚手架-移动脚手架,专ye承包服务商 - 苏州安踏脚手架工程有限公司 | bng防爆挠性连接管-定做金属防爆挠性管-依客思防爆科技 | 胶原检测试剂盒,弹性蛋白检测试剂盒,类克ELISA试剂盒,阿达木单抗ELISA试剂盒-北京群晓科苑生物技术有限公司 | 捷码低代码平台 - 3D数字孪生_大数据可视化开发平台「免费体验」 | 重庆私家花园设计-别墅花园-庭院-景观设计-重庆彩木园林建设有限公司 | 单级/双级旋片式真空泵厂家,2xz旋片真空泵-浙江台州求精真空泵有限公司 | 别墅图纸超市|别墅设计图纸|农村房屋设计图|农村自建房|别墅设计图纸及效果图大全 | Trimos测长机_测高仪_TESA_mahr,WYLER水平仪,PWB对刀仪-德瑞华测量技术(苏州)有限公司 |