首页 > 外闻 > 关键词  > 谷歌最新资讯  > 正文

谷歌坐视不理Chromecast漏洞多年 现被黑客利用

2019-01-03 14:01 · 稿源: 腾讯科技

泄露,漏洞,安全

图片来源图虫:已授站长之家使用

腾讯科技讯 据外媒报道,几年前,谷歌曾被警告其Chromecast流媒体电视棒存在漏洞,但它一直没有理会。现在,黑客正在利用这个漏洞。安全研究人员说,如果不赶紧修复这个漏洞,情况可能会变得更糟。

一位名叫“长颈鹿黑客”(Hacker Giraffe)的黑客成为了最新一个利用这个漏洞的人。他可以诱使谷歌Chromecast流媒体电视棒播放任何他们想要观看的任何YouTube视频——包括定制视频。这一次,这个黑客劫持了数千个Chromecast,迫使它们在与其连接的电视上显示一个弹出通知,警告用户他们的路由器配置出错,正在向他这样的黑客暴露他们的Chromecast和智能电视。

这个黑客还不失时机地要求你订阅PewDiePie——这是一个YouTube游戏主播的频道,有一大群YouTube粉丝。(他也曾通过黑客技术骗取数千台被感染病毒的打印机打印支持PewDiePie的传单。)

这个名为CastHack的漏洞利用了Chromecast和它所连接的路由器的弱点。一些家庭路由器启用了通用即插即用(UPnP)协议,这是一种可通过多种方式利用的网络标准。UPnP协议将端口从内部网络转发到互联网上,从而使得黑客可以在互联网上查看和访问Chromecast和其他设备。

正如“长颈鹿黑客”所说,禁用UPnP协议应该可以解决这个问题。

谷歌的一位发言人称:“我们收到了用户的报告,这些用户通过Chromecast电视棒在电视上播放了未经授权的视频。这不只是Chromecast的问题,由于路由器的设置问题,包括Chromecast在内的所有智能设备可以被公开访问。”

谷歌说的不错,但是它没有解决这个存在多年的漏洞,导致任何人都可以访问Chromecast,劫持流媒体视频,显示任何他们想看的任何内容,因为Chromecast并不会确认某人是否有权更换流媒体视频。

几年前就发现的漏洞

2014 年,在Chromecast发布后不久,安全咨询公司Bishop Fox就首次发现了这个漏洞。该公司的研究人员发现,他们可以进行“deauth”攻击,将Chromecast与其连接的Wi-Fi网络断开,使其恢复到开箱即用状态,等待一部设备告诉它要连接的位置和播放什么视频内容。在这个时候,它可以被劫持,并被迫播放劫持者想要观看的任何内容。所有这一切都可以在瞬间完成——就像他们演示的那样——只需在一部定制的手持遥控器上轻触一下按钮即可。

两年后,英国网络安全公司Pen Test Partners发现Chromecast仍然容易受到“deauth”攻击,你只需几分钟就可以轻易用邻居家的Chromecast播放视频内容。

Pen Test Partners公司创始人肯-蒙罗(Ken Munro)表示,由于Bishop Fix公司在 2014 年就发现了这个漏洞,而他的公司在 2016 年又测试了这个漏洞,因此“别人偶然发现它并不奇怪”。

谷歌在随后的一封电子邮件中表示,它正在努力修复deauth漏洞。

他说,网络攻击的方式各不相同,但利用漏洞的方法基本一样。CastHack漏洞可以在互联网上被利用,而Bishop Fox公司及其deauth攻击可以利用Wi-Fi网络来执行——然而,这两种攻击都会让黑客控制Chromecast,在与Chromecast连接的电视上播放他们想要播放的任何。

修复漏洞刻不容缓

蒙罗说,谷歌在 2014 年被告知这个漏洞的时候就应该着手解决它。

他说:“允许别人在没有认证的情况下控制本地网络,谷歌这样的设置非常愚蠢。因为用户经常会做一些愚蠢的事情,比如在互联网上曝光他们的智能电视,黑客就能够从中找到漏洞并加以利用。”

在恶意黑客发现和利用这个漏洞前,长颈鹿黑客就警告用户注意这些问题,并提供了如何修复的建议。

但蒙罗说,黑客通过这类攻击活动可以产生更严重的后果。

在周三的一篇博文中,蒙罗说,通过劫持Chromecast并迫使它播放足够大声的指令,从而可以轻易控制其他智能家居设备,比如亚马逊Echo智能音箱。这种情况以前也曾发生过,当聪明的语音助手在无意中听到电视或收音机上的声音时,它们会感到困惑,并且在没有任何警告信息的情况下突然从亚马逊订购商品。

蒙罗说,黑客可以强迫Chromecast播放黑客创建的YouTube视频,以欺骗Echo智能音箱:“Alexa,订购一台iPad”,或者,“Alexa,关掉房屋警报”,或者“Alexa,每天凌晨 3 点设置警报。”

亚马逊Echo和其他智能设备被广泛认为是安全的,即使它们倾向于偷听本不该听到的东西。蒙罗在他的博客文章中说,通常最薄弱的安全环节是人类,其次才是智能家居设备。最近,加拿大安全研究员兰德尔-曼(Render Man)演示了如何在窗户上使用声音传感器来诱骗附近的亚马逊Echo解锁一栋房子前门上的联网智能锁。

蒙罗说:“谷歌需要立即地修复Chromecast的deauth漏洞。”(腾讯科技审校/乐学)

  • 相关推荐
  • 大家在看
  • Chrome将代码分区,在Android上性能大变

    11月16日, 谷歌宣布通过隔离拆分代码提高 Android 上 Chrome 的速度和内存使用率。通过这些改进,Android 上的 Chrome 现在使用的内存减少了5-7%,并且启动和加载页面的速度比以前更快。

  • Google Chrome Canary现在允许用户在侧面板上阅读文章

    根据Chromium Repository的最新提交,Google Chrome浏览器的侧板目前包括阅读列表、书签和Google Lens的内容输出,但它今后可能会变得比这更有用,因为Google正计划扩大其功能,包括一个侧边栏阅读模式。

  • Windows 11 SE正式官宣:对标Chrome OS,就是“刚”

    ​还记得上周,在外媒 Windows Central 刚曝光 Windows11“隐藏版”的存在时,微软对此表示“没有什么可分享的”,没成想,这是因为微软准备自己直接官宣:

  • 对标Chrome OS:关于Windows 11 SE系统的重要细节

    在经历了数周的谣传之后,微软今天正式推出了 Windows 11 SE,以及运行该系统、售价为 249 美元的 Surface Laptop SE。科技媒体 Neowin 综合了有关该主题的文档,并总结了一些重要的细节,供你参考。名称首先从名称本身开始,品牌中的“SE”实际上并不是任何事物的缩写。微软声称它选择这个名称是为了与其他版本的操作系统区分开来,但看到公司为这些特定的首字母安顿下来仍然很奇怪。不幸的是,微软没有透露有关此主题的更多信息?

  • 老用户注意了!谷歌将停用Chrome 48及更早版本浏览器的数据同步功能

    近日,谷歌官方宣布:将在Chrome 96进入稳定版本后,正式结束对于Chrome 48及其他更早版本Chrome浏览器同步功能的支持。谷歌官方称,如果想要继续使用Chrome的同步功能,用户需要将浏览器更新到Chrome 49或更高的版本。谷歌官方通知截图同步功能是Chrome浏览器标志性的功能之一。在开启Chrome的同步功能之后,用户只需要登陆自己的谷歌账号,就能够在不同的设备间同步自己的书签,密码,历史记录等信息。除了这些基础信息外,同步?

  • Android端Chrome新增Privacy Guide:允许用户审查隐私和安全设置

    继桌面端之后,Android 端 Chrome 浏览器现在也允许用户审查隐私和安全设置了,并即将开放自定义设置。Chrome 浏览器的隐私和安全设置中的新 Privacy Guide 部分已经显示了默认隐私默认值,让你从一个地方控制它们。用户在 Windows、Mac、Linux、Chrome OS 和 Android 等不同平台上使用 Google Chrome 浏览器时,总是担心自己的隐私问题。这些担忧是有道理的,因为你在 Chrome 中使用 Google 的服务时,需要与他们分享你的数据。Go

  • Chrome 96正式版发布:加入Win11特别优化

    今天(11月16日),Chrome 96正式版发布下载。已经更新的用户发现,Chrome 96中特别加入了Windows 11风格右键菜单,说白了就是圆角矩形而已。默认并不开启,需要在地址栏输入chrome://flags/ 后回车,接着在顶栏搜索Windows 11启用Windows 11 Style Menus”。有趣的是,实际上Win10用户也能打开该选项并启用Win11风格右键菜单。回到Chrome 96,其它功能变化还包括剪贴板支持保存PNG图片元数据、在桌面平台支持浏览器往返缓存技术,

  • Google宣布:对Chrome 48及更早版本停止同步功能支持

    在 Chrome 96 稳定版发布之后,Google 宣布停止对 Chrome 48 及更早版本的同步功能支持。同步功能允许用户保留用户的书签、密码、历史记录、打开的标签、设置、偏好,以及在某些情况下的Google Pay支付信息。它还会自动将他们登录 Gmail、YouTube、搜索和其他Google服务。Google 在其企业博客上宣布了这一举措,并在上个月 10 月 19 日发布了 Chrome 94 的发布说明。Google 当时说:“Chrome 48 及更早版本不再支持 Chrome Sync。?

  • 谷歌 Chrome 浏览器对微软 Windows 7 的支持延长至 2023 年 1 月

    据Google在其支持页面上的描述,谷歌决定将这一截止日期再延长一年,对 Windows7上的 Chrome 支持将不早于2023年1月15日结束。

  • Google发布桌面版Chrome 96 首次启用后向缓存功能

    Google已经提前一天发布了Chrome 96,作为其跨平台网络浏览器的最新例行更新。Chrome 96的内容主要是增加了一些次要的开发者功能,一些用户改进,如桌面上的后向缓存,以及问题修复和安全维护工作。Chrome 96的一些亮点包括:- 当访问到HTTPS DNS记录时,自动将HTTP重定向到HTTPS。基本上,如果DNS记录是通过HTTPS的,就认为该网站也可以通过HTTPS访问,并默认使用该记录。- 桌面版本已经启用了一个后向缓存,这允许更快地导航到以

这篇文章对你有价值吗?

  • 热门标签

热文

  • 3 天
  • 7天