据外媒报道,几年前,谷歌曾被警告其Chromecast流媒体电视棒存在漏洞,但它一直没有理会。现在,黑客正在利用这个漏洞。安全研究人员说,如果不赶紧修复这个漏洞,情况可能会变得更糟。
一位名叫“长颈鹿黑客”(Hacker Giraffe)的黑客成为了最新一个利用这个漏洞的人。他可以诱使谷歌Chromecast流媒体电视棒播放任何他们想要观看的任何YouTube视频——包括定制视频。这一次,这个黑客劫持了数千个Chromecast,迫使它们在与其连接的电视上显示一个弹出通知,警告用户他们的路由器配置出错,正在向他这样的黑客暴露他们的Chromecast和智能电视。
这个黑客还不失时机地要求你订阅PewDiePie——这是一个YouTube游戏主播的频道,有一大群YouTube粉丝。(他也曾通过黑客技术骗取数千台被感染病毒的打印机打印支持PewDiePie的传单。)
这个名为CastHack的漏洞利用了Chromecast和它所连接的路由器的弱点。一些家庭路由器启用了通用即插即用(UPnP)协议,这是一种可通过多种方式利用的 *** 标准。UPnP协议将端口从内部 *** 转发到互联网上,从而使得黑客可以在互联网上查看和访问Chromecast和其他设备。
正如“长颈鹿黑客”所说,禁用UPnP协议应该可以解决这个问题。
谷歌的一位发言人称:“我们收到了用户的报告,这些用户通过Chromecast电视棒在电视上播放了未经授权的视频。这不只是Chromecast的问题,由于路由器的设置问题,包括Chromecast在内的所有智能设备可以被公开访问。”谷歌说的不错,但是它没有解决这个存在多年的漏洞,导致任何人都可以访问Chromecast,劫持流媒体视频,显示任何他们想看的任何内容,因为Chromecast并不会确认某人是否有权更换流媒体视频。
几年前就发现的漏洞
2014年,在Chromecast发布后不久,安全咨询公司Bishop Fox就首次发现了这个漏洞。该公司的研究人员发现,他们可以进行“deauth”攻击,将Chromecast与其连接的Wi-Fi *** 断开,使其恢复到开箱即用状态,等待一部设备告诉它要连接的位置和播放什么视频内容。在这个时候,它可以被劫持,并被迫播放劫持者想要观看的任何内容。所有这一切都可以在瞬间完成——就像他们演示的那样——只需在一部定制的手持遥控器上轻触一下按钮即可。
两年后,英国 *** 安全公司Pen Test Partners发现Chromecast仍然容易受到“deauth”攻击,你只需几分钟就可以轻易用邻居家的Chromecast播放视频内容。
Pen Test Partners公司创始人肯-蒙罗(Ken Munro)表示,由于Bishop Fix公司在2014年就发现了这个漏洞,而他的公司在2016年又测试了这个漏洞,因此“别人偶然发现它并不奇怪”。
谷歌在随后的一封电子邮件中表示,它正在努力修复deauth漏洞。
他说, *** 攻击的方式各不相同,但利用漏洞的 *** 基本一样。CastHack漏洞可以在互联网上被利用,而Bishop
Fox公司及其deauth攻击可以利用Wi-Fi *** 来执行——然而,这两种攻击都会让黑客控制Chromecast,在与Chromecast连接的电视上播放他们想要播放的任何。
现实生活中,很多人因为压力大等种种原因而失眠,甚至有的人需要依靠吃安眠药才能睡着。但是一粒安眠药能睡多久可能大。 安眠药最多一天两粒看自己的失眠程度少吃为好容易产生依赖性 你好,这个很难判断的,每个人...
本文导读目录: 1、有个叫什么风云的单机游戏,主角用手机黑客来控制城市的设施 2、求推荐一些自由度高的单机游戏.PC上的.不要太大 3、近几年自由度最高的电脑单机游戏帮忙推荐几款,越自由越喜欢...
其实现在的微信和商业模式比以前多了很多,所以可以防止微信用户有时候是小信出错,那么在各种控制微信ID的时候及时锁定坏的微信,一般锁定后,人们会通过微信团队协助验证这种方式,我们的微信密码再修改一次,然...
在我们淘宝过程中我们有时会遇到卖家虚假发货,正常我们下单后我们都对购买的东西有一种急切想收到的心情,可是当我们到买家后台去查看,会发生好几天都没有物流信息;有些商品甚至我们都没有收到货,但钱已经跑到卖...
本图文系“郎溪摄影哥”在头条平台原创首发,欢迎大家关注。有任何问题或建议可评论或私信留言,感谢支持。 前几日朋友说家里闲置着一台旧单反相机,距今已将近有十年了。当初一时兴起买下来,后来却很少用,因为...
有win7用户在使用本地连接的时候,却在登录时遇到身份验证失败的情况,导致我们不能正常连接宽带进行上网,相信也有其他用户也遇到了,那么win7本地连接身份验证失败怎么办呢,下面小编给大家分享win...