Deltakerne går med en plakat med et bilde av den nye Google Chromecast under en Google medier hendelse på September 29, 2015 i San Francisco, California.Foto: Getty / Justin Sullivan
En metode et par av hackere brukt denne uken til å kapre tusenvis av Google Chromecast enheter er nå, for de som ikke hadde funnet det ut allerede, som vanlig dag.
Lastet opp til Github på torsdag, et verktøy som heter Crashcast kan nesten momentant overtakelse alle Chromecast streaming enheter venstre tilgjengelig på nettet ved en feil. Denne samme feil konfigurasjon problemet ble tatt fordel av av hacker-duo Hacker Giraff og j3ws3r tidligere denne uken til å kringkaste en melding til støtte for YouTube-stjerners Felix Kjellberg, mer allment kjent som PewDiePie, til tusenvis av Chromecast eiere.
Den prank var ment å trekke oppmerksomheten, hacker sa, det faktum at tusenvis av Chromecast enheter globalt har blitt liggende eksponert unødvendig.
Hacker Giraff, som for ikke lenge siden trukket en lignende prank ved hjelp av internett-tilkoblede skrivere, sa torsdag at tilbakeslaget forårsaket av Chromecast høy jinks ledet dem til å gi opp hacking. Frykten for å bli oppdaget og straffeforfulgt, hacker skrev på Pastebin, var årsaken at “alle typer frykt og panikk angrep.”
“Jeg ønsket bare å informere folk om deres sårbare enheter mens du støtter en YouTuber jeg likte. Jeg har aldri ment noe ondt, heller ikke jeg noen gang har noen syke intensjoner,” de har lagt til.
Men nå er et verktøy som oppnår den samme prestasjon er tilgjengelig for nesten hvem som helst, takket Amir Khashayar Mohammadi, sikkerhet og freelance forsker. Mohammadi forteller Gizmodo, imidlertid, at verktøyet han har gitt ut er bare et proof-of-concept lastet opp til videre forskning i problemet, og er ikke ment for folk til å bruke skadelige.
Heldigvis, problemet er en relativt godartet. Verktøyet ikke tillate ekstern kjøring av kode, så tvinge enheten til å spille tilfeldige YouTube-videoer er om alle som kan oppnås. “Du er ikke nødvendigvis hacking noe her, sier Mohammadi, som blogger og publiserer papers på nettstedet Spuz.meg. “Alt du skal gjøre er å utstede en krøll-kommandoen som i dette tilfellet forteller Chromecast for å vise en video.”
“Det er ingen godkjenning eller bypass, du er faktisk å gjøre det Chromecast er ment å gjøre, bortsett grunnen til at dette fungerer er fordi de er alle blir eksponert for internett,” fortsatte han, og legger til: “jeg mener, ærlig talt, hvorfor skulle noen la sine Chromecast på internett? Det gir ingen mening. Du er bokstavelig talt ber om det.”
Hans verktøyet fungerer ved først å identifisere alle Chromecast enheter som er offentlig tilgjengelig, en prestasjon oppnådd takk til Shodan, en søkemotor utviklet for å finne internett-enheter i motsetning til web-sider. Sammen med en nyere versjon av Python programmeringsspråk, Crashcast krever tilgang til Shodan API, som koster rundt $60, selv om det tilsynelatende kan være tilgjengelig for gratis med en .edu-e-post-konto.
Crashcast er i stand til å raskt finne alle Chromecast enheter som er offentlig tilgjengelig og synlig til Shodan. (I skrivende stund, Shodan kan oppdage 176,268 individuelle Chromecasts enheter.) Når søket er fullført, brukeren blir bedt om å legge inn en YouTube-video-ID-en. Og det er i utgangspunktet det. Uansett hvilken video som er valgt bør umiddelbart bli vist ved hver av enhetene. (Merk: Gizmodo ikke faktisk teste Crashcast fordi vi ikke liker overraskende besøk fra fbi.)
Antall Chromecast enheter pr. land for venstre er offentlig tilgjengelig, i henhold til Shodan.
“Jeg gjør dette for en grunn og en grunn bare,” Mohammadi sa. “For å øke bevisstheten.”
Lesere ta merk: Bruke verktøyet som kan betraktes som en datamaskin kriminalitet i en rekke land, inkludert Usa. “Min kode er for forskere på jakt etter [bevis på konsepter] for sårbarheter snakket om, men faktisk ikke observert riktig,” sa han, og understreker at det folk ender opp med å gjøre med de verktøy som er på dem. “Jeg bare skrive dem, jeg trenger ikke engang bruke/teste dem, og jeg bare vet at de virker.”
Mohammadi sa også at mens han er ikke veldig kjent med Hacker Giraff, han har hørt av sine bedrifter (pun intended).
“Hans verktøyet for mer enn sannsynlig gjør akkurat hva min gjør,” sa han. “Ja, og jeg bare la merke til at han har forsvunnet. Jeg har én ting å si til det, det er ikke hans skyld. Skylde på alle de folk som uten grunn er eksponere sine Chromecasts, eller skrivere, eller kameraer, uansett hva!”
Mohammadi fortsatte: “Disse samme menneskene er grunnene til at folk som meg nødt til å gi slipp på disse verktøyene slik at de står opp og endre sine ruter konfigurasjoner. Vi er nødt til å tvinge disse menneskene til å gjøre det. Mye som oppdatering, kan folk ikke gjøre det med mindre det er behov for det. Disse er de samme personene som gir strøm til slike verktøy i første omgang! Klandre dem helt.”
For noen Chromecast eiere der ute som blir tvunget til å se forferdelig YouTube-videoer de heller bare ikke, løsningen er ganske enkel, men det kan være vanskeligere for noen som aldri har puslet litt med sine ruterens interne innstillinger før. (Deaktiver videresending på porter 8008 og 8443 bør gjøre susen.) Hvis du ikke er så kunnskapsrike, kan du prøve å kjøre et søk for instruksjoner om hvordan å få tilgang til ruteren via din nettleser.
Worst case scenario, kan du alltid prøve å ringe din internett-leverandør og be om hjelp. Jeg ville ikke, men gidder å prøve Google.
Mens Google ikke svare på Gizmodo forespørsel om kommentar, tidligere denne uken, har selskapet forsøkt å distansere seg fra eventuelle problemer oppleves av sine kunder, og sa: “Dette er ikke et problem med Chromecast spesielt, men er snarere et resultat av ruteren innstillinger som gjør smart-enheter, inkludert Chromecast, offentlig tilgjengelig.”
Deler Denne Historien