Un Google Chromecast Ultra.Foto: Gizmodo
Gli hacker hanno scoperto un bug che consente a un utente malintenzionato di prendere il controllo di Google Chromecast lo streaming media player, il che rende possibile forzare il dispositivo in “riproduzione di qualsiasi video di YouTube che vogliono, compresi i video che sono su misura,” TechCrunch ha riferito il mercoledì.
Il bug sfrutta una vulnerabilità nota (router Universal Plug and Play [UPnP] abilitato per impostazione predefinita, esponendo i dispositivi su una rete più ampia web), nonché un’evidente falla nel Chromecast è il design che permette a chiunque in grado di accedere al dispositivo di “dirottare il flusso multimediale e visualizzare ciò che si vuole”, senza autenticazione, TechCrunch ha scritto. Il sito aggiunto il secondo bug è stato conosciuto per anni dopo che è stato scoperto dai ricercatori di sicurezza:
Vescovo Fox, sicurezza, società di consulenza, per primo ha trovato il bug nel 2014, non molto tempo dopo il Chromecast ha debuttato. I ricercatori hanno scoperto che potevano condurre una “deauth” attacco che disconnette il Chromecast dalla rete Wi-Fi collegata, facendolo tornare al suo out-of-the-box di stato, in attesa di un dispositivo di dire dove collegare e cosa stream. Questo è quando si può essere dirottato e costretto a flusso qualunque sia il dirottatore vuole. Tutto questo può essere fatto in un istante — come hanno fatto — con un tocco di un pulsante su un telecomando portatile.
Due anni più tardi, nel regno UNITO cybersecurity ditta Penna Test Partner scoperto che il Chromecast era ancora vulnerabile a “deauth” attacchi, rendendo più facile per riprodurre il contenuto in un prossimo Chromecasts in pochi minuti.
Secondo TechCrunch, questa vulnerabilità è stata scoperta da parte di hacker noto come Hacker Giraffa e utilizzato la tecnica a forza di migliaia di Chromecasts per giocare a un video messaggio di avviso che “IL Chromecast/Smart TV è esposta al pubblico di internet e di esporre informazioni sensibili su di te!” Hacker Giraffa fatto di fornire un URL per il afflitto gli utenti a imparare di più circa l’UPnP vulnerabilità, così come rapidamente rendere inutile:
Disabilitare l’UPnP sul router, e se sei il port forwarding delle porte 8008/8443/8009 quindi SMETTERE di inoltro.
Hacker Giraffa anche diretto le persone a sottoscrivere Felix “PewDiePie” Kjellberg—una stella di YouTube e perenne edgelord. (L’individuo dietro lo pseudonimo anche preso di credito per il dirottamento di decine di migliaia di stampanti inizio di quest’anno a vomitare una lettura di un messaggio, in parte, “PewDiePie è in difficoltà e ha bisogno del tuo aiuto per sconfiggere T-Series!”)
TechCrunch ha osservato che l’exploit potrebbe essere utilizzato per tirare fuori una complicata serie di attacchi, come la riproduzione di comandi vocali abbastanza forte da essere sentito da una smart speaker e così pasticciare con qualsiasi account connessi o dispositivi.
Come Gizmodo segnalato in precedenza, “UPnP ha un lungo track record di essere compromessi da hacker, spesso esponendo i dispositivi a internet, che dovrebbe essere visibile solo a livello locale. [Content delivery network] Akamai ha segnalato questa estate che UPnP è stato utilizzato da hacker per nascondere il traffico in un ‘organizzato e diffuso l’abuso di campagna.’” Un recente attacco usando UPnP vulnerabilità incorporated EternalBlue, una Agenzia di Sicurezza Nazionale-sviluppato exploit che trapela nel 2017.
In una dichiarazione TechCrunch, Google ha riconosciuto di aver ricevuto segnalazioni di video a spuntare sul Chromecasts, ma ha affermato: “Questo non è un problema con Chromecast in particolare, ma è piuttosto il risultato di impostazioni del router che fanno di smart device, tra cui Chromecast, pubblicamente raggiungibili”.
[Spot]
Condividi Questa Storia