近日，外媒报道黑客HackerGiraffe 和 j3ws3r 发起了一轮针对使用Chromecast联网设备用户的攻击，这轮攻击被称作CastHack。

Chromecast是谷歌在2013年7月25日发布的全新连接设备。该设备运行简化版Chrome操作系统，可以插在电视HDMI接口上。在同一WiFi环境下，用户通过Chromecast能将手机或平板上播放的Youtube视频推送到电视上。

黑客HackerGiraffe 和 j3ws3r正是发现并利用了Chromecast 的漏洞，诱使谷歌Chromecast流媒体电视棒播放任何他们想要观看的YouTube视频——包括定制视频。

这一次，黑客劫持了数千个Chromecast，迫使它们在与其连接的电视上显示一个弹出通知，警告用户他们的路由器配置出错并且正在向黑客暴露他们的Chromecast和智能电视。

这个名为CastHack的漏洞利用了Chromecast和它所连接的路由器的弱点。一些家庭路由器启用了通用即插即用(UPnP)协议，这是一种可通过多种方式利用的网络标准。UPnP协议将端口从内部网络转发到互联网上，从而使得黑客可以在互联网上查看和访问Chromecast和其他设备。

谷歌的一位发言人称：“这不只是Chromecast的问题，由于路由器的设置问题，包括Chromecast在内的所有智能设备都可以被公开访问。”（因为Chromecast并不会确认某人是否有权更换流媒体视频）

在接受外媒 TheVerge 采访时，HackerGiraffe 和 Google 都表示：避免被攻击的最佳方法，就是是关闭路由器上的通用即插即用（UPnP）功能。

除此之外，在CastHack的这波攻击中，HackerGiraffe 和 j3ws3r还不失时机地要求用户订阅Youtube 上一个叫PewDiePie的频道。该频道拥有者是一个游戏主播，拥有一大群YouTube粉丝，是Youtube上最当红的订阅频道了。正在同另一个当红频道T-Series争夺着Youtube上的“最强王者”，已持续数月。

两个频道的粉丝们也在线上和线下发起的声援活动，遍布全球。

尽管黑客HackerGiraffe 辩称，自己主要是想曝光这方面的漏洞，而不是宣传PewDiePie 的 YouTube 频道，但他们还曾通过黑客技术骗取数千台被感染病毒的打印机来打印支持PewDiePie的传单。利用黑客技术为PewDiePie打Call的行为很难说不是铁粉啊！

事实上，HackerGiraffe利用的这一漏洞在几年前就已经被发现了，并不是一个新发现的漏洞。

2014年，在Chromecast发布后不久，安全咨询公司Bishop Fox就首次发现了这个漏洞。该公司的研究人员发现，他们可以进行“deauth”攻击，将Chromecast与其连接的Wi-Fi网络断开，使其恢复到初始状态。在这个时候，它可以被劫持，并被迫播放劫持者想要观看的任何内容。所有这一切都可以在瞬间完成，只需在一部定制的手持遥控器上轻触一下按钮即可。

在恶意黑客发现和利用这个漏洞前，HackerGiraffe就警告用户注意这些问题，并提供了如何修复的建议。接下来，对于谷歌而言，就是修复漏洞！刻不容缓！

参考来源：

• 腾讯科技

• cnBeta.COM