Les participants à pied par une affiche avec une image de la nouvelle version de Google Chromecast lors d’un Google événement médiatique le 29 septembre 2015 à San Francisco, en Californie.Photo: Getty / Justin Sullivan
Une méthode, d’une paire de pirates informatiques ont utilisé cette semaine à détourner des milliers de Google Chromecast appareils est maintenant, pour ceux qui n’avaient pas compris, déjà, clair comme le jour.
Téléchargés sur Github, jeudi, à un outil appelé Crashcast permet à la quasi-instantanée prise de contrôle de tous Chromecast appareils en streaming à gauche accessibles en ligne par erreur. Cette même mauvaise question a été mis à profit par le hacker duo Pirate Girafe et j3ws3r plus tôt cette semaine afin de diffuser un message à l’appui de la star de YouTube Felix Kjellberg, plus largement connu comme PewDiePie, à des milliers de Chromecast propriétaires.
La farce était destiné à attirer l’attention, le hacker a dit, du fait que des milliers de Chromecast dispositifs à l’échelle mondiale ont été laissés exposés inutilement.
Hacker Girafe, qui a pas trop longtemps tiré un semblable farce à l’aide connecté à internet, imprimantes, a déclaré jeudi que le battement causée par le Chromecast frasques conduit à abandonner le piratage. La peur de se faire prendre et de poursuites, le pirate a écrit sur Pastebin, a été l’origine de toutes sortes de craintes et les attaques de panique.”
“Je voulais juste informer les personnes de leurs appareils vulnérables, tout en soutenant un YouTuber que j’ai aimé. Je n’ai jamais voulu aucun mal, et je n’ai jamais eu aucun mauvais intentions”, ont-ils ajouté.
Mais maintenant un outil qui réalise le même exploit est accessible à pratiquement tout le monde, grâce à Amir Khashayar Mohammadi, de sécurité et de chercheur indépendant. Mohammadi dit Gizmodo, cependant, que l’outil qu’il a publié est simplement une preuve de concept téléchargé à de nouvelles recherches sur le problème, et n’est pas prévu pour les gens à utiliser à des fins malveillantes.
Heureusement, le problème est relativement bénigne. L’outil ne permet pas l’exécution de code à distance, afin de forcer l’appareil à jouer au hasard des vidéos de YouTube est à propos de tout ce qui peut être accompli. “Vous n’êtes pas nécessairement de piratage n’importe quoi ici,” dit-Mohammadi, qui les blogs et publie des articles sur le site web de Spuz.moi. “Tout ce que vous faites est la délivrance d’une boucle de commande qui, dans ce cas, dit le Chromecast pour afficher une vidéo.”
“Il n’y a pas d’authentification ou de contournement, vous êtes en train de faire ce que le Chromecast est destiné à faire, sauf la raison pour laquelle cela fonctionne est parce qu’ils sont tous exposés à l’internet”, poursuit-il, ajoutant: “je veux dire, honnêtement, pourquoi serait-on laisser leur Chromecast sur internet? Il ne fait aucun sens. Vous êtes littéralement de les demander.”
Son outil fonctionne en identifiant d’abord tous les appareils Chromecast qui sont accessibles au public, un exploit réalisé grâce à Shodan, un moteur de recherche conçu pour localiser les appareils internet, par opposition à des pages web. Avec une version récente de Python, le langage de programmation, Crashcast nécessite l’accès à Shodan de l’API, qui coûte autour de $60, même si elle peut apparemment être consulté gratuitement avec un .edu compte de messagerie.
Crashcast est capable de localiser rapidement l’ensemble de la Chromecast appareils qui sont publiquement accessibles et visibles à Shodan. (Au moment de l’écriture, Shodan peut détecter 176,268 personne Chromecasts périphériques). Une fois la recherche terminée, l’utilisateur est invité à l’entrée d’une vidéo YouTube ID. Et c’est principalement ça. Quel que soit la vidéo est sélectionné doit être immédiatement affichés par chacun des appareils. (Note: Gizmodo n’a pas fait de test Crashcast parce que nous n’avons pas profiter des visites surprises du gouvernement fédéral.)
Nombre de Chromecast périphériques par des pays accessibles au public, selon Shodan.
“Je fais cela pour une raison et une seule raison,” Mohammadi a dit. “Faire de la sensibilisation.”
Note aux lecteurs: à l’Aide de l’outil peut être considéré comme un crime informatique dans de nombreux pays, dont les États-unis. “Mon code est pour les chercheurs en quête d’ [la preuve de concepts] pour les vulnérabilités parlé, mais pas réellement observé correctement”, dit-il, en soulignant que ce que les gens finissent par faire avec les outils est sur eux. “Je ne les écris, je n’ai pas encore utiliser/tester, je sais juste qu’ils travaillent.”
Mohammadi a également déclaré que, bien qu’il n’est pas très familier avec Hacker Girafe, il a entendu parler de leurs exploits (pun intended).
“Son outil plus que probablement fait exactement ce que la mienne,” dit-il. “Ouais, et je viens de remarquer qu’il a disparu. J’ai une chose à vous dire, ce n’est pas de sa faute. Blâmer tous ceux qui pour aucune raison exposent leurs Chromecasts, imprimantes ou de, ou de des caméras, quoi!”
Mohammadi, a poursuivi: “Ces mêmes personnes sont les raisons pour lesquelles les gens comme moi se libérer de ces outils afin qu’ils obtiennent et de changer leur configuration des routeurs. Nous avons à la force de ces gens pour le faire. Un peu comme la mise à jour, les gens ne le font pas, sauf si il ya un besoin. Ce sont les mêmes personnes qui donnent de la puissance de ces outils, en premier lieu! Blâmer entièrement.”
Pour toute Chromecast propriétaires y être forcé à regarder terrible des vidéos YouTube, ils préfèrent tout simplement pas, la solution est assez simple, mais il peut être plus difficile pour quelqu’un qui n’a jamais bricolé avec leur routeur interne de paramètres avant. (Désactiver la redirection de ports 8008 et 8443 devrait faire l’affaire.) Si vous n’êtes pas très doués en informatique, vous pouvez essayer de lancer une recherche pour obtenir des instructions sur la façon d’accéder à votre routeur via votre navigateur.
Le pire scénario, vous pouvez toujours essayer d’appeler votre fournisseur de services internet et de demander de l’aide. Je ne voudrais pas, cependant, la peine d’essayer Google.
Alors que Google n’a pas répondu à Gizmodo demande de commentaire, plus tôt cette semaine, la société a tenté de se distancier de tout problèmes rencontrés par ses clients, en disant: “Ce n’est pas un problème avec Chromecast, mais est plutôt le résultat de paramètres du routeur que rendre les appareils intelligents, y compris Chromecast, publiquement accessible.”
Partager Cette Histoire