อุปกรณ์ Google Chromecast นับหมื่นชิ้นถูกโจมตี เจาะผ่านช่องโหว่ที่ Google ไม่ยอมแก้ไขถึง 5 ปี

กลุ่มของ Hacker ได้ทำการค้นหาอุปกรณ์ Google Chromecast ที่สามารถเข้าถึงได้ผ่าน Internet จากการเชื่อมต่อด้วย Universal Plug and Play (UPnP) กับอุปกรณ์ Router ที่ไม่ได้ทำการตั้งค่าให้ปลอดภัย แล้วจึงทำการเจาะช่องโหว่ของ Google Chromecast เพื่อแจ้งเตือนผู้ใช้งานถึงช่องโหว่ดังกล่าว และถือโอกาสเดียวกันนี้โปรโมท PewDiePie ซึ่งเป็น YouTuber ชื่อดังไปด้วย

Credit: HackerNews

Hacker กลุ่มนี้ที่ใช้ Account ใน Twitter ว่า @HackerGiraffe และ @j3ws3r ได้ทำการสร้างเว็บไซต์ชื่อ CastHack ซึ่งแสดงสถิติด้วยว่าปัจจุบันมีอุปกรณ์ Google Chromecast, Google Home, Smart TV ที่มีช่องโหว่ต่างๆ และถูกเจาะไปแล้วมากแค่ไหน โดยช่องโหว่ที่เปิดให้ถูกโจมตีได้ในครั้งนี้นอกจากจะนำมาใช้แสดงข้อความแล้ว ผู้โจมตียังสามารถทำการเลือกเปิดสื่อต่างๆ ตามต้องการ, ทำการเปลี่ยนชื่ออุปกรณ์, สั่ง Factory Reset อุปกรณ์, Reboot อุปกรณ์, ลบการตั้งค่า Wi-Fi ไปจนถึงทำการสั่งให้อุปกรณ์ทำการ Pair กับเครือข่ายอื่นๆ แทนได้ด้วย

ทั้งนี้สำหรับช่องโหว่ของ Google Chromecast นี้ก็เป็นช่องโหว่ที่ Google เองรับทราบมาตั้งแต่ปี 2014 แล้ว แต่ก็ไม่ได้ทำการแก้ไขใดๆ อย่างจริงจัง ดังนั้นการป้องกันตัวเองจากช่องโหว่ดังกล่าวนี้ก็คือการที่เหล่าผู้ใช้งานต้องทำการตั้งค่าอุปกรณ์ Router ให้ปลอดภัยเองด้วยการปิดการทำ Port Forwarding สำหรับพอร์ต 8008, 8443 และ 8009 รวมถึงปิดการใช้งาน UPnP หากไม่จำเป็น

ส่วนการโปรโมท PewDiePie ในแคมเปญการโจมตีนี้ก็ไม่ใช่ครั้งแแรก เนื่องจากก่อนหน้านี้กลุ่ม Hacker นี้เองก็เคยโจมตีเจาะอุปกรณ์ Printer ที่เชื่อมต่อผ่าน Internet ได้กว่า 50,000 เครื่องเพื่อสั่งพิมพ์ใบปลิวเชิญชวนให้ติดตาม PewDiePie มาก่อนหน้านี้แล้ว

ที่มา: https://thehackernews.com/2019/01/chromecast-pewdiepie-hack.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ผู้เชี่ยวชาญพบช่องโหว่บน Firmware ของชิป WiFi ยอดนิยมคาดกระทบอุปกรณ์หลายล้านชิ้น

Denis Selianin ผู้เชี่ยวชาญจาก Embedi ได้ค้นพบช่องโหว่บนบน ThreadX หรือ Real-time Operating System (RTOS) ยอดนิยมที่ถูกพัฒนาโดย Express Logic ซึ่งบริษัทอ้างว่าซอฟต์แวร์ได้ถูกนำไปใช้กับชิป …

PCI SSC ออกมาตรฐานใหม่ตอบโจทย์เทรนด์การพัฒนาซอฟต์แวร์ในปัจจุบัน

PCI SSC คณะกรรมการกำหนดมาตรฐานด้านความมั่นคงปลอดภัยของอุตสาหกรรมบัตรจ่ายเงินได้ประกาศออก Software Security Framework ที่เป็นมาตรฐานใหม่เพื่อตอบโจทย์เทรนด์ของการพัฒนาซอฟต์แวร์ปัจจุบันอย่างคอนเซปต์ DevOps หรือ Continous Delivery โดยคาดว่าจะนำมาใช้ได้ราวปี 2022 เพื่อแทนที่มาตรฐานเดิมอย่าง PA-DSS …