近日,外媒報導黑客HackerGiraffe和j3ws3r發起了一輪針對使用Chromecast聯網裝置使用者的攻擊,這輪攻擊被稱作CastHack。
Chromecast是谷歌在2013年7月25日釋出的全新連線裝置。該裝置執行簡化版Chrome作業系統,可以插在電視HDMI介面上。在同一WiFi環境下,使用者通過Chromecast能將手機或平板上播放的Youtube視訊推送到電視上。
黑客攻擊Chromecast
黑客HackerGiraffe和j3ws3r正是發現並利用了Chromecast的漏洞,誘使谷歌Chromecast流媒體電視棒播放任何他們想要觀看的YouTube視訊——包括定製視訊。
這一次,黑客劫持了數千個Chromecast,迫使它們在與其連線的電視上顯示一個彈出通知,警告使用者他們的路由器配置出錯並且正在向黑客暴露他們的Chromecast和智慧電視。
這個名為CastHack的漏洞利用了Chromecast和它所連線的路由器的弱點。一些家庭路由器啟用了通用即插即用(UPnP)協議,這是一種可通過多種方式利用的網路標準。UPnP協議將埠從內部網路轉發到網際網路上,從而使得黑客可以在網際網路上檢視和訪問Chromecast和其他裝置。
谷歌的一位發言人稱:“這不只是Chromecast的問題,由於路由器的設定問題,包括Chromecast在內的所有智慧裝置都可以被公開訪問。”(因為Chromecast並不會確認某人是否有權更換流媒體視訊)
在接受外媒TheVerge採訪時,HackerGiraffe和Google都表示:避免被攻擊的最佳方法,就是是關閉路由器上的通用即插即用(UPnP)功能。
黑客為Youtube網紅技術打Call
除此之外,在CastHack的這波攻擊中,HackerGiraffe和j3ws3r還不失時機地要求使用者訂閱Youtube上一個叫PewDiePie的頻道。該頻道擁有者是一個遊戲主播,擁有一大群YouTube粉絲,是Youtube上最當紅的訂閱頻道了。正在同另一個當紅頻道T-Series爭奪著Youtube上的“最強王者”,已持續數月。
兩個頻道的粉絲們也線上上和線下發起的聲援活動,遍佈全球。
儘管黑客HackerGiraffe辯稱,自己主要是想曝光這方面的漏洞,而不是宣傳PewDiePie 的 YouTube 頻道,但他們還曾通過黑客技術騙取數千臺被感染病毒的印表機來列印支援PewDiePie的傳單。利用黑客技術為PewDiePie打Call的行為很難說不是鐵粉啊!
這不是一個新漏洞
事實上,HackerGiraffe利用的這一漏洞在幾年前就已經被發現了,並不是一個新發現的漏洞。
2014年,在Chromecast釋出後不久,安全諮詢公司Bishop Fox就首次發現了這個漏洞。該公司的研究人員發現,他們可以進行“deauth”攻擊,將Chromecast與其連線的Wi-Fi網路斷開,使其恢復到初始狀態。在這個時候,它可以被劫持,並被迫播放劫持者想要觀看的任何內容。所有這一切都可以在瞬間完成,只需在一部定製的手持遙控器上輕觸一下按鈕即可。
在惡意黑客發現和利用這個漏洞前,HackerGiraffe就警告使用者注意這些問題,並提供瞭如何修復的建議。接下來,對於谷歌而言,就是修復漏洞!刻不容緩!
參考來源: