Deltagerne går forbi en plakat med et billede af den nye Google Chromecast under en Google-media begivenhed on September 29, 2015 i San Francisco, Californien.Foto: Getty / Justin Sullivan
En metode, et par af hackere, der anvendes i denne uge for at kapre tusindvis af Google Chromecast enheder er, for dem, der ikke havde regnet det ud allerede, nu som almindelig dag.
Uploadet at Github på torsdag, et værktøj kaldet Crashcast giver næsten øjeblikkelig overtagelse af alle Chromecast streaming-enheder venstre tilgængelige online ved en fejl. Det samme fejlkonfiguration spørgsmål blev udnyttet af hacker duo Hacker Giraf og j3ws3r tidligere i denne uge at sende en besked til støtte for den YouTube-stjernede Felix Kjellberg, mere almindeligt kendt som PewDiePie, at tusindvis af Chromecast ejere.
Prank var beregnet til at henlede opmærksomheden, hacker sagde, at det faktum, at tusindvis af Chromecast enheder på verdensplan har ligget unødigt.
Hacker Giraf, der ikke alt for længe siden trukket et lignende sjov ved hjælp af internet-tilsluttede printere, sagde torsdag, at den reaktion, forårsaget af Chromecast høj jinks førte dem til at give op hacking. Frygten for at blive fanget og retsforfulgt, hacker skrev på Pastebin, der var årsag “alle former for frygt og panik angreb.”
“Jeg ville bare lige informere folk om deres sårbare enheder og samtidig støtte en YouTuber, jeg kunne lide. Jeg har aldrig ment noget ondt, heller ikke jeg nogensinde har nogen syge intentioner,” tilføjer de.
Men nu et værktøj, som udretter det samme kunststykke er tilgængelige for stort set alle, tak til Amir Khashayar Mohammadi, en sikkerhed og freelance researcher. Mohammadi Gizmodo fortæller dog, at det værktøj, han har udgivet, er blot et proof-of-concept, der er uploadet til yderligere forskning i problemet, og er ikke beregnet til folk til at bruge ondskabsfuldt.
Heldigvis er problemet en temmelig godartet. Værktøjet ikke kan tillade fjernkørsel af programkode, så tvinger enheden til at afspille tilfældige YouTube-videoer er alt det, der kan opnås. “Du er ikke nødvendigvis hacking noget her,” siger Mohammadi, der blogs og udgiver papirer på hjemmesiden Spuz.mig. “Alt hvad du gør, er at udstede en krølle-kommando, som i dette tilfælde fortæller den Chromecast at se en video.”
“Der er ingen godkendelse eller bypass, du faktisk gør, hvad de Chromecast er beregnet til at gøre, bortset fra at grunden til, at dette fungerer, er fordi de alle er udsat til internettet,” fortsatte han, og tilføjer: “jeg mener helt ærligt, hvorfor skulle man forlade deres Chromecast på internettet? Det giver ingen mening. Du er bogstavelig talt bede om det.”
Hans værktøj fungerer ved først at identificere alle de Chromecast enheder, der er offentligt tilgængelige, er et kunststykke udført tak til Shodan, en søgemaskine, der er designet til at finde internet-enheder i modsætning til web-sider. Sammen med en nyere version af Python, programmeringssprog, Crashcast kræver adgang til Shodan ‘ s API, som koster omkring $60, selv om det tilsyneladende kan tilgås gratis med .edu e-mail-konto.
Crashcast er i stand til hurtigt at finde alle de Chromecast enheder, der er offentligt tilgængelige og synlige for Shodan. (I skrivende stund, er Shodan kan registrere 176,268 enkelte Chromecasts enheder.) Når søgningen er færdig, bliver brugeren bedt om at indtaste en YouTube-video-ID ‘ et. Og det er dybest set det. Uanset video er valgt, bør straks blive vist ved hver af enhederne. (Bemærk: Gizmodo har faktisk ikke test Crashcast, fordi vi ikke nyde overraskelse besøg fra fbi.)
Antallet af Chromecast enheder per land tilbage, der er offentligt tilgængelig, i henhold til Shodan.
“Jeg gør det for en grund og en grund alene,” Mohammadi sagde. “For at øge bevidstheden.”
Læserne tage bemærk: ved Hjælp af værktøjet kan betragtes som en edb-kriminalitet i mange lande, herunder Usa. “Min kode er for forskere, der søger efter [proof of concepts] for sårbarheder talte om, men faktisk ikke observeret ordentligt,” sagde han, og understreger, at hvad mennesker ender med at gøre med de værktøjer, der er på dem. “Jeg skriver kun dem, jeg ikke selv kan bruge/teste dem, jeg ved bare, at de virker.”
Mohammadi sagde også, at mens han ikke er meget fortrolig med Hacker Giraf, han har hørt om deres bedrifter (ordspil bestemt).
“Hans værktøj er mere end sandsynligt, gør præcis, hvad mine gør,” sagde han. “Ja, og jeg har lige bemærket, at han er forsvundet. Jeg har kun en ting at sige til det, det er ikke hans skyld. Skylden for alle de mennesker, der uden grund er at udsætte deres Chromecasts, eller printere, eller kameraer, uanset hvad!”
Mohammadi fortsatte: “Disse mennesker er årsagerne til, at mennesker som mig, der er nødt til at frigive disse værktøjer, så de kommer op og ændre deres router konfigurationer. Vi er nødt til at tvinge disse folk til at gøre det. Meget gerne opdatere den, folk ikke gør det, medmindre der er et behov. Disse er de samme folk, der giver strøm til sådanne værktøjer i første omgang! Bebrejde dem helt.”
For nogen Chromecast ejere, der kan være tvunget til at se forfærdeligt YouTube-videoer, de vil hellere bare ikke, fix er forholdsvis enkel, og selvom det kan være sværere for en person, der aldrig har brudt med deres routerens interne indstillinger før. (Deaktivere videresendelse af port 8008 og 8443 bør gøre det trick.) Hvis du ikke er så klog, kan du prøve at køre en søgning for at få instruktioner om, hvordan at få adgang til din router via din browser.
Worst case scenario, du kan altid prøve at ringe til din INTERNETUDBYDER og bede om hjælp. Jeg ville ikke, men gider at prøve Google.
Selvom Google ikke svare på Gizmodo ‘ s request for comment, tidligere i denne uge, at selskabet har forsøgt at distancere sig fra eventuelle problemer, som opleves af sine kunder, siger, “Dette er ikke et problem med Chromecast specifikt, men er snarere resultatet af router-indstillinger, som gør smart-enheder, herunder Chromecast, som er offentligt tilgængelig.”
Dele Denne Historie