Forscher Verteilt Tool, mit dem Masse-Hijacking von Google Chromecast-Geräte

Die Teilnehmer laufen durch ein Plakat mit einem Bild des neuen Google Chromecast bei Google media-event am September 29, 2015 in San Francisco, Kalifornien.Foto: Getty / Justin Sullivan

Eine Methode, die ein paar von Hackern verwendet, diese Woche entführen Tausende von Google-Chromecast-Geräte ist nun, für diejenigen, die noch nicht herausgefunden bereits, Ebene als Tag.

Hochgeladen Github am Donnerstag ein tool namens Crashcast ermöglicht das fast sofortige übernahme alle Chromecast-streaming-Geräte Links zugänglich online durch Fehler. Das gleiche Problem Fehlkonfiguration war in Anspruch genommen von den hacker-duo Hacker Giraffe und j3ws3r Anfang dieser Woche an die broadcast-eine Nachricht im support der YouTube-star Felix Kjellberg, besser bekannt als PewDiePie, um Tausende von Chromecast-Besitzer.

Der Streich war, soll die Aufmerksamkeit der hacker sagte, die Tatsache, dass Tausende von Chromecast-Geräten weltweit wurden ausgesetzt unnötig.

Hacker-Giraffe, die vor nicht allzu langer Zeit zog ein ähnlicher Streich mit dem internet verbundenen Drucker, sagte am Donnerstag, dass die Gegenreaktion verursacht, indem Sie die Chromecast Ausgelassenheit führten Sie zu geben, hacken. Die Angst erwischt und bestraft, der hacker schrieb auf Pastebin, war, die “alle Arten von ängsten und Panikattacken.”

“Ich wollte nur die Leute informieren, Ihre ungeschützte Geräte und unterstützen eine YouTuber, die ich mochte. Ich habe nie böse gemeint, noch habe ich jemals irgendwelche schlechten Absichten”, fügten Sie hinzu.

Aber jetzt ein tool, welches die gleiche Leistung ist zugänglich für praktisch jedermann, Dank Amir Khashayar Mohammadi, eine Sicherheit und freier Forscher. Mohammadi sagt Gizmodo jedoch, dass das Werkzeug, das er veröffentlicht hat ist nur ein proof-of-concept hochgeladen, um die weitere Forschung in das problem, und ist nicht gedacht für Menschen in böser Absicht.

Crashcast gezeigt vorbereiten der Sendung ein YouTube-video zu 176,642 Chromecast-Geräte.

Zum Glück, das problem ist ein ziemlich gutartig. Das tool erlaubt keinen remote-Ausführung von code, so zwingen Sie das Gerät, um zu spielen-random YouTube videos ist in etwa alles, was erreicht werden kann. “Du bist nicht unbedingt hacken hier nichts”, sagt Mohammadi, wer bloggt und veröffentlicht Papiere auf der website Spuz.mich. “Alles, was Sie tun, ist die Erteilung einer cURL-Befehl, welcher in diesem Fall sagt der Chromecast ein video anzuzeigen.”

“Es ist keine Authentifizierung oder-bypass, sind Sie tatsächlich das tun, was der Chromecast bestimmt ist, zu tun, außer, der Grund warum dies funktioniert ist, weil Sie sind alle mit dem internet ausgesetzt”, setzte er hinzu: “ich meine, ehrlich, warum sollte jemand lassen Sie Ihren Chromecast auf dem internet? Es macht keinen Sinn. Sie sind buchstäblich darum gebeten zu haben.”

Sein Werkzeug funktioniert so, dass zunächst die Ermittlung aller von der Chromecast-Geräte, die öffentlich zugänglich sind, ein Kunststück vollbracht, Dank Shodan, eine Suchmaschine entwickelt, um suchen Sie internet-Geräte im Gegensatz zu web-Seiten. Zusammen mit einer aktuellen version von Python, die Programmiersprache, Crashcast erfordert Zugang zum Shodan API, die Kosten um die $60, aber es kann anscheinend kostenlos abgerufen werden, mit ein .edu E-Mail-Konto.

Crashcast ist in der Lage, um schnell alle Chromecast-Geräte, die öffentlich zugänglich und sichtbar zu Shodan. (Zum Zeitpunkt des Schreibens, Shodan erkennen kann 176,268 einzelnen Chromecasts Geräte.) Sobald die Suche abgeschlossen ist, wird der Benutzer aufgefordert, ein YouTube-video-ID. Und das ist im Grunde es. Was video ist, ausgewählt wird, sollte sofort angezeigt werden, die von jedem der Geräte. (Hinweis: Gizmodo hat nicht wirklich testen Crashcast, weil wir nicht genießen, überraschend Besuch von FBI-Agenten.)

Anzahl der Chromecast-Geräte pro Land Links öffentlich zugänglich sind, laut Shodan.

“Ich mache das aus einem Grund und ein Grund nur,” Mohammadi sagte. “Das Bewusstsein zu schärfen.”

Die Leser nehmen Hinweis: die Verwendung von Werkzeug könnte als ein computer-Verbrechen in zahlreichen Ländern, einschließlich der Vereinigten Staaten. “Mein code ist für die Forscher auf der Suche nach [Konzepte] für Sicherheitslücken gesprochen, aber eigentlich nicht richtig beobachtet,” sagte er, betont, dass das, was Menschen tun, mit den Werkzeugen ist auf Ihnen. “Ich Schreibe nur, ich weiß gar nicht nutzen/testen, ich weiß nur, dass Sie funktionieren.”

Mohammadi sagte auch, dass, während er nicht sehr vertraut mit Hacker-Giraffe, die er gehört hat, Ihre Heldentaten (Wortspiel beabsichtigt).

“Sein Instrument mehr als wahrscheinlich macht genau das, was mir tut”, sagte er. “Ja, und ich habe gerade bemerkt, dass er verschwunden ist. Ich habe eine Sache zu sagen, dass es nicht seine Schuld. Die Schuld all derer, die ohne Grund setzen Ihre Chromecasts, oder Drucker oder Kameras, was auch immer!”

Mohammadi sagte weiter: “Diese Menschen sind die Gründe, warum Menschen wie mich haben, lassen Sie diese tools, so dass Sie aufstehen und ändern Sie Ihre router-Konfigurationen. Wir zwingen diese Menschen, es zu tun. Ähnlich wie die Aktualisierung, die Menschen nicht tun, es sei denn, es ist eine Notwendigkeit. Diese sind die gleichen Leute, die macht geben, um solche Werkzeuge in den ersten Platz! Ihnen die Schuld völlig.”

Für alle Chromecast-Besitzer gibt, wird gezwungen zu sehen, dass schreckliche YouTube-videos, die Sie lieber nicht, das Update ist ziemlich einfach, obwohl es kann schwieriger sein, für jemanden, der nie bedacht, Ihre router-interne Einstellungen vor. (Disable-forwarding auf ports 8008 und 8443 sollte den trick tun.) Wenn Sie nicht so versiert sind, können Sie versuchen, eine Suche für eine Anleitung, wie Sie Zugang zu Ihrem router über Ihren browser.

Worst-case-Szenario, können Sie versuchen Sie immer, ruft Sie Ihren ISP und bitten Sie um Hilfe. Ich würde allerdings nicht die Mühe Google.

Während Google nicht reagiert hat Gizmodo ‘ s request for comment, Anfang dieser Woche, das Unternehmen versucht zu distanzieren sich von jeglicher Probleme von seinen Kunden, die sagten: “Das ist nicht ein Problem mit Chromecast speziell, sondern ist vielmehr das Ergebnis der router-Einstellungen, smart-Geräte, einschließlich Chromecast, öffentlich erreichbar.”

Teilen Sie Diese Geschichte


Date:

by