谷歌多年无视Chromecast的漏洞，现在可能会被黑客利用造成困扰

谷歌几年前曾在其Chromecast媒体流媒体棒中被警告过，但未解决此问题。现在，黑客正在利用这个漏洞 - 安全研究人员说事情可能会变得更糟。

一名被称为黑客长颈鹿的黑客已成为了解如何欺骗谷歌媒体流媒体播放他们想要的任何YouTube视频的最新人物 - 包括定制的视频。这一次，黑客劫持了数以千计的Chromecast，迫使他们显示可在联网电视上观看的弹出式通知，警告用户他们错误配置的路由器将他们的Chromecast和智能电视暴露给像他这样的黑客。

不是浪费机会，黑客还要求你订阅PewDiePie，这是一个非常糟糕的互联网人物，有一个受欢迎的YouTube追随者。 （他是同一个黑客，他欺骗了成千上万的暴露打印机，为PewDiePie提供打印支持。）

这个名为CastHack的漏洞利用了Chromecast和它连接的路由器的弱点。一些家用路由器启用了通用即插即用（UPnP），这是一种可以通过多种方式利用的网络标准。 UPnP将端口从内部网络转发到互联网，使Chromecast和其他设备可以在互联网上的任何位置查看和访问。

正如Hacker Giraffe所说，禁用UPnP可以解决问题。

谷歌发言人告诉TechCrunch，“我们收到了用户通过Chromecast设备在电视上播放未经授权的视频的报道”。发言人说：“这不是专门针对Chromecast的问题，而是路由器设置的结果，这些设置使智能设备（包括Chromecast）可以公开访问。”

这一方面是正确的，但它没有解决这个多年前的错误，它让任何能够访问Chromecast的人都能够劫持媒体流并显示他们想要的内容，因为Chromecast不会检查某人是否被授权更改视频流。

黑客长颈鹿将这个YouTube视频发送给数千个暴露的Chromecast设备，警告他们的流可能很容易被劫持。

安全咨询公司Bishop Fox在Chromecast首次亮相后不久就在2014年首次发现了该漏洞。研究人员发现，他们可以进行“deauth”攻击，将Chromecast与其连接的Wi-Fi网络断开连接，使其恢复到开箱即用的状态，等待设备告诉它连接的位置和流的内容。那时它可以被劫持并被迫流淌劫机者想要的任何东西。所有这一切都可以在瞬间完成 - 就像他们一样 - 只需按一下定制手持遥控器上的按钮即可。

两年后，英国网络安全公司Pen Test Partners发现Chromecast仍然容易受到“deauth”攻击，因此只需几分钟便可在邻居的Chromecast上播放内容。

创立Pen Test Partners的Ken Munro表示，“其他人偶然发现它并不奇怪”，因为Bishop Fix在2014年发现它并且他的公司在2016年进行了测试。

“公平地说，我们从未想过这项服务会暴露在公共互联网上，所以这是他非常有效的发现，对他来说完全归功于他，”Munro告诉TechCrunch。 （谷歌在后续电子邮件中说，它正在努力修复deauth bug。）

他说攻击的方式不同，但开发方法是一样的。 CastHack可以通过互联网进行攻击，而Bishop Fox和他的“deauth”攻击可以在Wi-Fi网络范围内进行 - 然而，这两种攻击都让黑客能够控制Chromecast在电视上显示的内容，他说。

Munro表示谷歌应该在2014年第一次有机会时修复它的漏洞。

“在没有身份验证的情况下允许控制本地网络在[谷歌]部分是一个非常愚蠢的想法，”他说。 “因为用户做傻事，比如在互联网上暴露他们的电视，黑客发现可以被利用的服务中的漏洞。”

黑客长颈鹿是最新的诉诸“好撒玛利亚安全”，通过警告用户这些问题，并提供有关如何在恶意黑客接管之前解决这些问题的建议，科技公司和设备制造商已经在很大程度上失败了。

但是芒罗说，这种类型的攻击 - 虽然从表面上看是令人讨厌和侵扰 - 可能会被利用来产生更多的恶意后果。

在周三的博客文章中，Munro表示通过劫持Chromecast并强制它播放足够响亮的命令来利用其麦克风，很容易利用其他智能家居设备 - 如亚马逊回声。之前发生过这种情况，当聪明的助手在电视或收音机上听到言语时会感到困惑，并突然并且没有警告从亚马逊购买物品。 （您可以而且应该打开PIN以通过亚马逊订购。）

仅举几例，Munro表示可以强制Chromecast加载由攻击者创建的YouTube视频，以欺骗Echo：“Alexa，订购iPad”或“Alexa，关闭房屋警报”，或者， “Alexa，每天凌晨3点发出警报。”

Amazon Echos和其他智能设备被广泛认为是安全的，即使他们很容易听到他们不应该听到的事情。通常，最薄弱的环节是人类。其次，智能家庭助理的其他设备构成了最大的风险，Munro在他的博客文章中说。最近，加拿大安全研究员Render Man展示了如何在窗户上使用声音传感器可以欺骗附近的Amazon Echo解锁房屋前门上的网络连接智能锁。

“谷歌需要正确修复Chromecast deauth错误，该错误允许投放YouTube流量，”Munro说。