天创培训:您身旁的信息安全培训专家!
开班方案
2019年1月CISP培训开班告诉
主讲教师   张教师、王教师等
开课工夫   2019年1月8日-13日
培训方法   实地/面授
讲课天次   培训5天+测验半天
上课工夫   09:00 -- 16:30
课程引见 在线报名
行业动态您当前位置: > 最新动态 > 行业动态

谷歌坐视不睬Chromecast破绽多年,现被黑客操纵

作者:天创培训  滥觞:px.tcnet.com.cn  更新工夫:2019-01-04  关键词:破绽,黑客

  据外媒报导,几年前,谷歌曾被正告其Chromecast流媒体电视棒存在破绽,但它不断没有理睬。如今,黑客正在操纵这个破绽。安全研究人员说,假如不赶快修复这个破绽,状况可能会变得更糟。


  一名名叫“长颈鹿黑客”(Hacker Giraffe)的黑客成为了最新一个操纵这个破绽的人。他能够诱使谷歌Chromecast流媒体电视棒播放任何他们想要寓目的任何YouTube视频——包罗定制视频。这一次,这个黑客挟制了数千个Chromecast,迫使它们在与其毗连的电视上显现一个弹出告诉,正告用户他们的路由器设置堕落,正在向他如许的黑客表露他们的Chromecast和智能电视。


  这个黑客还不失时机地要求你定阅PewDiePie——这是一个YouTube游戏主播的频道,有一大群YouTube粉丝。(他也曾经由过程黑客技术欺骗数千台被传染病毒的打印机打印撑持PewDiePie的传单。)


  这个名为CastHack的破绽操纵了Chromecast和它所毗连的路由器的缺点。一些家庭路由器启用了通用即插即用(UPnP)和谈,这是一种可经由过程多种方法操纵的网络尺度。UPnP和谈将端口从内部网络转发到互联网上,从而使得黑客能够在互联网上检察和会见Chromecast和其他装备。


  正如“长颈鹿黑客”所说,禁用UPnP和谈该当能够处理这个问题。


  谷歌的一名讲话人称:“我们收到了用户的陈述,这些用户经由过程Chromecast电视棒在电视上播放了未经受权的视频。这不只是Chromecast的成绩,因为路由器的设置成绩,包罗Chromecast在内的所有智能装备能够被公然会见。”


  谷歌说的不错,可是它没有处理这个存在多年的破绽,招致任何人都能够会见Chromecast,挟制流媒体视频,显现任何他们想看的任何内容,由于Chromecast其实不会确认或人能否有权改换流媒体视频。


  2014年,在Chromecast公布后不久,安全征询公司Bishop Fox就初次发明了这个破绽。该公司的研究人员发明,他们能够停止“deauth”进犯,将Chromecast与其毗连的Wi-Fi网络断开,使其规复到开箱即用形态,等候一部装备报告它要毗连的位置和播放什么视频内容。在这个时候,它能够被挟制,并被迫播放劫持者想要寓目的任何内容。所有这统统都能够在霎时完成——就像他们演示的那样——只需在一部定制的手持遥控器上轻触一下按钮便可。


  两年后,英国网络安全公司Pen Test Partners发明Chromecast仍旧简单遭到“deauth”进犯,你只需几分钟就能够随便用邻居家的Chromecast播放视频内容。


  Pen Test Partners公司创始人肯-蒙罗(Ken Munro)暗示,因为Bishop Fix公司在2014年就发明了这个破绽,而他的公司在2016年又测试了这个破绽,因而“他人偶尔发明它其实不奇异”。


  谷歌在随后的一封电子邮件中暗示,它正在勤奋修复deauth破绽。


  他说,网络进犯的方法各不不异,但操纵破绽的办法根本一样。CastHack破绽能够在互联网上被操纵,而Bishop Fox公司及其deauth进犯能够操纵Wi-Fi网络来施行——但是,这两种进犯城市让黑客掌握Chromecast,在与Chromecast毗连的电视上播放他们想要播放的任何。


  蒙罗说,谷歌在2014年被告知这个破绽的时分就该当动手处理它。


  他说:“许可他人在没有认证的状况下掌握当地网络,谷歌如许的设置十分愚笨。由于用户常常会做一些愚笨的工作,好比在互联网上暴光他们的智能电视,黑客就可以从中找到破绽并加以操纵。”


  在歹意黑客发明和操纵这个破绽前,长颈鹿黑客就正告用户留意这些成绩,并提供了如何修复的倡议。


  但蒙罗说,黑客经由过程这类进犯活动能够发生更严峻的结果。


  在周三的一篇博文中,蒙罗说,经由过程挟制Chromecast并迫使它播放充足高声的指令,从而能够随便掌握其他智能家居装备,好比亚马逊Echo智能音箱。这种情况从前也曾发生过,当智慧的语音助手在无意中听到电视或收音机上的声音时,它们会感应猜疑,而且在没有任何正告信息的状况下忽然从亚马逊订购商品。


  蒙罗说,黑客能够自愿Chromecast播放黑客创立的YouTube视频,以棍骗Echo智能音箱:“Alexa,订购一台iPad”,大概,“Alexa,关掉衡宇警报”,大概“Alexa,天天清晨3点设置警报。”


  亚马逊Echo和其他智能装备被普遍以为是安全的,即便它们倾向于偷听本不应听到的工具。蒙罗在他的博客文章中说,凡是最单薄的安全环节是人类,其次才是智能家居装备。近来,加拿大安全研究员兰德尔-曼(Render Man)演示了如安在窗户上利用声音传感器来拐骗四周的亚马逊Echo解锁一栋屋子前门上的联网智能锁。


  蒙罗说:“谷歌需求立刻地修复Chromecast的deauth破绽。”



0

推荐浏览

js9983.com金沙网站
 |  关于天创 |  课程体系 |  最新动态 |  联络我们 |  网站舆图 |  二维码 金沙娱乐官网
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
姑苏总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000
www.09758.com