Instrumentul care poate deturna în masă Google Chromecast a fost încărcat pe Github

Instrumentul care poate deturna în masă Google Chromecast a fost încărcat pe Github

⌛ Reading Time: 4 minutes

Este posibil să nu fiți de acord cu această metodă, dar obiectivul a fost de a le arăta oamenilor că trebuie să nu își lase dispozitivele Google Chromecast conectate la Internet atunci când nu sunt utilizate. Instrumentul Crashcast a fost publicat pe Github ca un avertisment pentru proprietarii de Chromecast. Este aceeași vulnerabilitate pe care hackerii o foloseau pentru a prelua dispozitivele Chromecast și a difuza un mesaj PewDiePie.

Vulnerabilitate Chromecast

Această vulnerabilitate a fost utilizată la începutul acestei săptămâni de perechea de hackeri Hacker Giraffe și j3ws3r. L-au folosit pentru a trimite un mesaj de sprijin pentru YouTuber Felix Kjellberg, alias PewDiePie. Acest mesaj a fost trimis către multe dispozitive Chromecast.

Acești hackeri au putut să-și trimită mesajul către dispozitivele de streaming Chromecast care au fost lăsate online și nu au fost deconectate.

Hackerii au făcut acest lucru, a spus Hacker Giraffe, pentru a arăta că mii de dispozitive Chromecast din întreaga lume sunt lăsate într-o stare vulnerabilă. Recent, a scos ceva similar cu imprimantele conectate la Internet.

Reacția publică

Hackerul a declarat joi că reacția negativă pe care el și partenerul său au primit-o după glumă pe dispozitivele Chromecast i-au determinat să renunțe la hacking. Aveau „tot felul de frici și atacuri de panică” îngrijorați că vor fi prinși și urmăriți penal.

„Am vrut doar să informez oamenii despre dispozitivele lor vulnerabile în timp ce susțin un YouTuber care mi-a plăcut. Nu am însemnat niciodată rău și nici nu am avut vreodată intenții rele ”, a scris Hacker Giraffe pe Pastebin.

Crashcast

Dar după farsa duo-ului, instrumentul Crashcast care profită de aceeași vulnerabilitate a fost pus la dispoziția tuturor de către cercetătorul independent și securitate Amir Khashayar Mohammadi. Cu toate acestea, el susține că instrumentul este doar o „dovadă a conceptului” pentru a cerceta în continuare această vulnerabilitate. El nu intenționează ca oamenii să-l folosească din motive nefaste.

Instrumentul nu face cu adevărat nimic care dăunează dispozitivelor Chromecast, deoarece nu permite executarea codului la distanță. Într-adevăr, tot ce poate face este să redați videoclipuri YouTube pe dispozitive.

„Nu neapărat hackezi nimic aici”, a spus Mohammadi, un blogger al site-ului Spuz.me. „Tot ce faceți este să emiteți o comandă cURL, care, în acest caz, îi spune Chromecastului să vizioneze un videoclip.”

„Nu există autentificare sau bypass; de fapt faceți ceea ce intenționează să facă Chromecastul, cu excepția motivului pentru care funcționează, deoarece toți sunt expuși la internet ”, a explicat el.

„Adică, sincer, de ce ar lăsa cineva Chromecastul pe internet? Nu are nici un sens. Îl ceri literalmente. ”

news-chromecast-hijacked-device

Crashcast identifică toate dispozitivele Chromecast accesibile cu un motor de căutare conceput pentru a localiza dispozitivele Internet, Shodan și folosește și Python în proces. Utilizatorul introduce apoi un ID video YouTube, care este apoi afișat pe fiecare dispozitiv Chromecast.

Gizmodo constată că utilizarea Crashcast ar putea fi considerată o infracțiune computerizată, în funcție de țară.

„Codul meu este pentru cercetătorii care caută [proof of concepts] pentru vulnerabilitățile despre care s-a vorbit, dar care nu au fost observate corect ”, a explicat Mohammadi. Ceea ce fac oamenii cu instrumentul său depinde de ei. „Le scriu doar. Nici măcar nu le folosesc / testez – știu doar cum funcționează. ”

În plus

După ce Mohammadi a observat că Hacker Giraffe a dispărut, vrea să se asigure că nimeni nu-l învinovățește și învinuiește „pe toți acei oameni care, fără niciun motiv, își expun Chromecast-urile sau imprimantele sau camerele de luat vederi!”

El adaugă: „Aceiași oameni sunt motivele pentru care oamenii ca mine trebuie să lanseze aceste instrumente, astfel încât să se ridice și să-și schimbe configurațiile routerului. Trebuie să-i forțăm pe acești oameni să o facă. La fel ca actualizarea, oamenii nu o fac decât dacă este nevoie. Aceștia sunt aceiași oameni care dau putere unor astfel de instrumente în primul rând! Dă vina pe ei în întregime. ”

Desigur, Google și-a eliminat vina din ei înșiși: „Aceasta nu este o problemă specifică pentru Chromecast, ci este mai degrabă rezultatul setărilor routerului care fac ca dispozitivele inteligente, inclusiv Chromecastul, să fie accesibile public”.

Aveți un Chromecast? A fost preluat de ecranul YouTube al hackerilor? Ce părere aveți despre instrumentul publicat online? Spuneți-ne părerile dvs. cu privire la deturnarea în masă a Chromecast-urilor în comentarii.

Credit de imagine: EricaJoy, TAKA @ PPRS, și Maurizio Pesce totul prin Wikimedia Commons