据infosecurity 1月3日报道,两名黑客劫持了数万台打印机,发出支持一位YouTube红人的信息,由此发起了一场针对联网电视的新运动。
截至目前为止,超过72000台设备已经成为CastHack活动的目标,该活动旨在提高人们对谷歌电视棒(Chromecast)驱动的智能电视的认识,这种电视可能会将设备和智能家庭的敏感信息泄露给公共互联网。白帽黑客HackerGiraffe和j3ws3r能够利用支持UPnP的路由器,劫持智能电视,迫使他们播放YouTube视频来支持当红的视频博主PewDiePie。
这两个人在另一份通知中表示,公开曝光的路由器泄露了Wi-Fi网络和设备上的信息,这不仅可以让攻击者远程播放媒体,还可以“重命名设备、恢复出厂设置或重启设备、忘记所有Wi-Fi网络、与新的蓝牙扬声器/ Wi-Fi点配对等等。”
他们请受影响的用户禁用路由器上的UPnP,并停止端口8008、8443和8009端口转发。
“我们想帮助你,也想帮助我们最喜欢的油管主播 (主要是PewDiePie ),”他们补充道,“我们只是想保护你,在有人真正要利用这个漏洞之前告诉你这个漏洞的存在。请想象一下访问上述信息的后果。”
去年11月和12月,两人成功劫持了世界各地的联网打印机,打印了支持PewDiePie的信息。
然而,他们声称不对上个月《华尔街日报》页面的篡改负责,虽然这似乎也是PewDiePie粉丝所为。
Tripwire安全研究人员Craig Young认为,在智能家居中,可用性往往胜过安全性,这意味着像谷歌电视棒(GoogleChromecast)这样的系统对用户请求缺乏认真的认证核查。
“有一个关键问题是,很多人错误地认为局域网实际上是私有网络。事实上,外部攻击者可以通过多种方式未经授权进入这些“私人”家庭网络。”他补充道。
“在这种情况下,黑客滥用了具有UPnP错误配置的路由器,但是网络浏览和移动应用程序也可能暴露内部网络。我在去年夏天的研究显示,谷歌电视棒(Google Chromecast)和Home(两款产品)是如何通过DNS重组被劫持的,这就是最好的例子。”
Young说,他希望CastHack活动能唤起供应商“重新思考他们的认证模式”。
注:本文由E安全编译报道,转载请注明原文地址
https://www.easyaq.com
- 黑客从Electrum钱包窃取价值75万美元的比特币
- 经沙特阿拉伯政府指控,Netflix下架一集《爱国者法案》
- 印度政府提议修改《信息技术法案》,删除应用程序和网站
- 印度当局要求社交网络利用微软PhotoDNA扫描所有照片
- 数据泄露——维多利亚州政府雇员详情外泄
- 未经用户同意,某些流行安卓应用程序与脸书共享用户的数据
▼点击“阅读原文”查看更多精彩内容