谷歌坐視不理Chromecast漏洞多年 現被黑客利用

2021-01-08 站長之家

圖片來源圖蟲:已授站長之家使用

騰訊科技訊 據外媒報導,幾年前,谷歌曾被警告其Chromecast流媒體電視棒存在漏洞,但它一直沒有理會。現在,黑客正在利用這個漏洞。安全研究人員說,如果不趕緊修復這個漏洞,情況可能會變得更糟。

一位名叫「長頸鹿黑客」(Hacker Giraffe)的黑客成為了最新一個利用這個漏洞的人。他可以誘使谷歌Chromecast流媒體電視棒播放任何他們想要觀看的任何YouTube視頻——包括定製視頻。這一次,這個黑客劫持了數千個Chromecast,迫使它們在與其連接的電視上顯示一個彈出通知,警告用戶他們的路由器配置出錯,正在向他這樣的黑客暴露他們的Chromecast和智能電視。

這個黑客還不失時機地要求你訂閱PewDiePie——這是一個YouTube遊戲主播的頻道,有一大群YouTube粉絲。(他也曾通過黑客技術騙取數千臺被感染病毒的印表機列印支持PewDiePie的傳單。)

這個名為CastHack的漏洞利用了Chromecast和它所連接的路由器的弱點。一些家庭路由器啟用了通用即插即用(UPnP)協議,這是一種可通過多種方式利用的網絡標準。UPnP協議將埠從內部網絡轉發到網際網路上,從而使得黑客可以在網際網路上查看和訪問Chromecast和其他設備。

正如「長頸鹿黑客」所說,禁用UPnP協議應該可以解決這個問題。

谷歌的一位發言人稱:「我們收到了用戶的報告,這些用戶通過Chromecast電視棒在電視上播放了未經授權的視頻。這不只是Chromecast的問題,由於路由器的設置問題,包括Chromecast在內的所有智能設備可以被公開訪問。」

谷歌說的不錯,但是它沒有解決這個存在多年的漏洞,導致任何人都可以訪問Chromecast,劫持流媒體視頻,顯示任何他們想看的任何內容,因為Chromecast並不會確認某人是否有權更換流媒體視頻。

幾年前就發現的漏洞

2014 年,在Chromecast發布後不久,安全諮詢公司Bishop Fox就首次發現了這個漏洞。該公司的研究人員發現,他們可以進行「deauth」攻擊,將Chromecast與其連接的Wi-Fi網絡斷開,使其恢復到開箱即用狀態,等待一部設備告訴它要連接的位置和播放什麼視頻內容。在這個時候,它可以被劫持,並被迫播放劫持者想要觀看的任何內容。所有這一切都可以在瞬間完成——就像他們演示的那樣——只需在一部定製的手持遙控器上輕觸一下按鈕即可。

兩年後,英國網絡安全公司Pen Test Partners發現Chromecast仍然容易受到「deauth」攻擊,你只需幾分鐘就可以輕易用鄰居家的Chromecast播放視頻內容。

Pen Test Partners公司創始人肯-蒙羅(Ken Munro)表示,由於Bishop Fix公司在 2014 年就發現了這個漏洞,而他的公司在 2016 年又測試了這個漏洞,因此「別人偶然發現它並不奇怪」。

谷歌在隨後的一封電子郵件中表示,它正在努力修復deauth漏洞。

他說,網絡攻擊的方式各不相同,但利用漏洞的方法基本一樣。CastHack漏洞可以在網際網路上被利用,而Bishop Fox公司及其deauth攻擊可以利用Wi-Fi網絡來執行——然而,這兩種攻擊都會讓黑客控制Chromecast,在與Chromecast連接的電視上播放他們想要播放的任何。

修復漏洞刻不容緩

蒙羅說,谷歌在 2014 年被告知這個漏洞的時候就應該著手解決它。

他說:「允許別人在沒有認證的情況下控制本地網絡,谷歌這樣的設置非常愚蠢。因為用戶經常會做一些愚蠢的事情,比如在網際網路上曝光他們的智能電視,黑客就能夠從中找到漏洞並加以利用。」

在惡意黑客發現和利用這個漏洞前,長頸鹿黑客就警告用戶注意這些問題,並提供了如何修復的建議。

但蒙羅說,黑客通過這類攻擊活動可以產生更嚴重的後果。

在周三的一篇博文中,蒙羅說,通過劫持Chromecast並迫使它播放足夠大聲的指令,從而可以輕易控制其他智能家居設備,比如亞馬遜Echo智能音箱。這種情況以前也曾發生過,當聰明的語音助手在無意中聽到電視或收音機上的聲音時,它們會感到困惑,並且在沒有任何警告信息的情況下突然從亞馬遜訂購商品。

蒙羅說,黑客可以強迫Chromecast播放黑客創建的YouTube視頻,以欺騙Echo智能音箱:「Alexa,訂購一臺iPad」,或者,「Alexa,關掉房屋警報」,或者「Alexa,每天凌晨 3 點設置警報。」

亞馬遜Echo和其他智能設備被廣泛認為是安全的,即使它們傾向於偷聽本不該聽到的東西。蒙羅在他的博客文章中說,通常最薄弱的安全環節是人類,其次才是智能家居設備。最近,加拿大安全研究員蘭德爾-曼(Render Man)演示了如何在窗戶上使用聲音傳感器來誘騙附近的亞馬遜Echo解鎖一棟房子前門上的聯網智能鎖。

蒙羅說:「谷歌需要立即地修復Chromecast的deauth漏洞。」(騰訊科技審校/樂學)

相關焦點

  • 谷歌坐視不理Chromecast漏洞多年,現遭黑客利用
    【獵雲網】1月4日報導(編譯:清酒)幾年前,谷歌曾被警告其Chromecast流媒體設備存在漏洞,但它一直沒有理會。現在,黑客正在利用這個漏洞,並以YouTube巨星PewDiePie的名義徵用了超5500臺智能電視。安全研究人員說,如果不趕緊修復這個漏洞,情況可能會變得更糟。
  • 谷歌Chromecast用戶注意了 黑客通過漏洞劫持設備
    黑客已經劫持了數以萬計的谷歌Chromecast智能電視設備。黑客自稱為HackerGiraffe和J3ws3r,他們聲稱可以訪問超過70,000個Chromecast設備,估計有8,000個受影響。谷歌Chromecast設備(圖片來源:9to5Google)HackerGiraffe和J3ws3r利用網際網路路由器設置,使Chromecast和智能電視等連接設備可在線公開查看。
  • 谷歌發布新一代chromecast
    【PConline 資訊】北京時間9月30日0點,谷歌在美國舊金山舉行新品發布會,整個發布會亮點頗多,除了萬眾矚目的新Nexus手機外,新一代chromecast也是谷歌此次發布會的一個重點發布產品,下面就來看看谷歌此次發布會發布的chromecast電視棒吧。
  • 谷歌Chromecast慘遭破解:並非Chrome OS
    谷歌Chromecast慘遭破解:並非Chrome OS 谷歌Chromecast電視棒剛亮相不足一周,但目前已經遭到了黑客破解。
  • 谷歌中斷Chromecast音頻
    谷歌中斷Chromecast音頻,Chromecast音頻已不復存在。本周Reddit上有報導稱,這款小巧的流媒體狗狗已經停產,谷歌的一名發言人今天向VentureBeat證實了這一消息。谷歌的一位發言人說:「我們的產品組合在不斷發展,現在我們有各種各樣的產品供用戶享受音頻。」
  • 高危的Chrome漏洞允許黑客入侵瀏覽器
    高危的Chrome漏洞允許黑客入侵瀏覽器 谷歌更新了它的Chrome網絡瀏覽器,總共修復了8個漏洞,包括4個評級為高危的漏洞。其中3個是瀏覽器使用後的漏洞,漏洞可能會使瀏覽器的內存中產生錯誤,為主機被入侵和瀏覽器被黑客攻擊留下了隱患。
  • Vimeo、HBO Go將陸續支持谷歌Chromecast
    Vimeo、HBO Go將陸續支持谷歌Chromecast Vimeo、HBO Go將陸續支持谷歌Chromecast站長之家(Chinaz.com)
  • 谷歌發布電視棒Chromecast 售價約210元
    谷歌希望用Chromecast為所有用戶創造一個適用而簡便的解決方案。用戶不再需要電視遙控器Chromecast成為第一項運用Google Cast技術的設備,谷歌期待未來有更多的硬體設備可以和谷歌合作,植入Google Cast科技。【外媒拆解】谷歌電視棒Chromecast內部是什麼樣?據硬體評測網站Anandtech報導,為了具備WiFi功能,電視棒裡面有一個Marvell的DE3005晶片和一個AzurWare晶片。
  • 谷歌Chromecast(第三代)審查
    如果你是谷歌,你就叫它Chromecast第三代。在谷歌的最新發布會上,Chromecast被降級為今年的「還跑」產品類別,並被隨意地扔進了審查者的提包中。然而,由於沒有什麼升級方面的問題,我們不得不思考為什麼谷歌完全更新了它的Chromecast。開箱即用的第二代Chromecast於2015年發布,它是第一個拋棄快閃記憶體驅動器的puck設計的產品。
  • Chromecast和Chromecast Audio上手玩
    就像之前業內預測,谷歌發布了不止一個而是兩個的Chromecast設備。它們倆個都令人印象深刻,而且價格都還仍舊是35美元。我花了一點時間把玩,並寫下了對這兩個設備的初步印象。新的Chromecast外形像是一個有趣的小冰球,有內置的HDMI連接線。
  • 黑客利用XSS漏洞,可訪問谷歌的內部網絡
    小編來報:安全研究人員在谷歌的發票提交門戶中發現了危險的XSS漏洞。據外媒報導,一位年輕的安全研究員在谷歌的一個後端應用程式中發現了一個安全漏洞。如果被黑客利用,該漏洞可能會讓黑客竊取谷歌內部應用程式的員工cookie並劫持帳戶,發起魚叉式釣魚攻擊,並有可能進入谷歌內部網絡的其他部分。
  • Chromecast和Chromecast Audio上手玩:看上去靠譜了
    就像之前業內預測,谷歌發布了不止一個而是兩個的Chromecast設備。它們倆個都令人印象深刻,而且價格都還仍舊是35美元。我花了一點時間把玩,並寫下了對這兩個設備的初步印象。最顯著的優化來自Chromecast的官方應用。第一代應用程式其實沒有真正做任何事情,除了連接和斷開的你的手機之外。新的應用程式充分利用了谷歌的搜索技術,成為一個全功能的和深思熟慮布局的內容中心。
  • 【每日安全資訊】黑客攻擊聯網的Chromecast設備 鼓勵訂閱YouTube網紅PewDiePie
    外媒報導稱,兩名黑客在攻陷了部分連接至網際網路的 Chromecast 設備後,竟然不忘推銷起 YouTube 網紅、當前正與 T-Series
  • 谷歌Chromecast一周歲,「投射」破四億
    谷歌(Google)Chromcast,這款售價35美元、與Roku及蘋果電視(Apple TV)展開競爭的流媒體電視棒,在周四迎來了一周歲生日。為為慶祝這一裡程碑,谷歌宣布,Chromecast已支持了超過4億次「投射」——用戶將媒體內容從行動裝置、筆記本和臺式機上傳送至電視屏幕。谷歌還將向Chromecast用戶免費提供價值30美元的Google Play Music All Access服務。這一年中,谷歌Chromecast在全球各地迅速普及。目前已進駐20個國家,包括愛爾蘭在內。
  • Google Chromecast開箱以及簡單的評測
    谷歌Chromecast開箱本人雖然混跡數字尾巴很久,但是幾乎不發表帖子,很久以來第一次發,如果寫的不好,請大家見諒。本人2年前來美帝留學,本來就對數碼產品很感興趣,又來到數碼的最前沿,真的很如魚得水的感覺,很多新奇的東西都能第一手弄到,本來這次谷歌的chromecast在美國很火,我也跟著訂了一個,等了一個多禮拜終於寄到了,本來在微博上和大叔得瑟一下,然後就被忽悠來寫開箱了。{:挖鼻屎:}廢話不多說,直接正文什麼是Chromecast?
  • 谷歌電視棒Google Chromecast-你有必要 了解一下的產品
    網際網路流媒體曾經風靡一時,谷歌的Chromecast是最早利用這一點的設備之一。第三代谷歌Chromecast為支持hdmi的設備提供了一種廉價、快速、簡便的音樂和視頻流媒體傳輸方式。連接谷歌宣稱,第三代Chromecast比之前的版本快15%,這樣助於支持60幀的1080p視頻,強於之前的30幀1080p或者60幀720p,但仍低於4 k,畢竟谷歌Chromecast有點貴。藍牙一直是谷歌Chromecast粉絲們所要求的功能之一,用來連接無線耳機或藍牙音箱。
  • 谷歌電視棒:Chromecast解剖教程
    這根小小的電視棒在上周谷歌發布會上搶盡二代Nexus 7的風頭。儘管此前Chromecast的開發過程捲入了Netflix等第三方機構,但我們幾乎沒有聽到過關於cast的什麼消息——這充分說明 了谷歌不想讓咱知道新玩意兒還是有辦法的。另外,谷歌同時還直言cast只賣硬體也掙錢。所有這些都讓我們對這根小棒棒越發好奇。國外的一撥黑客們已將Chromecast剖開,讓我們速來一探究竟。
  • Chrome 86.0.4240.183穩定版發布:修復兩個高危漏洞
    在過去幾周時間裡,谷歌都在積極修復存在於 Chrome 瀏覽器中的多個安全漏洞。最新發現的一個漏洞存在於桌面端 Chrome 的 V8 JavaScript 引擎中,能夠發起遠程執行代碼(RCE)攻擊。而存在於 Android 端 Chrome 中的一個漏洞能從沙盒中逃脫。
  • 谷歌Chromecast試用:操作步驟簡單
    【搜狐數碼消息】據國外媒體報導,谷歌公司周三發布了谷歌Chromecast,這是一款能將用戶電腦、安卓系統和iOS系統設備中的內容傳輸到電視的微型設備,售價僅35美元。  這款設備的包裝盒上赫然寫著這麼一行字:在電視上看在線視頻的最容易方式。
  • 谷歌Chromecast是什麼?Chromecast多少錢?
    谷歌Chromecast是什麼  Chromecast是谷歌在2013年7月25日發布的全新連接設備。該設備運行簡化版Chrome作業系統,可以插在電視HDMI接口上。在同一WiFi環境下,用戶通過Chromecast能將手機或平板上播放的Youtube視頻推送到電視上。