Điểm yếu IoT: Tin tặc chiếm quyền điều khiển hàng ngàn Chromecast

Hacker đã tấn công hàng ngàn thiết bị Chromecast. Nhưng không dừng ở đó, các nhà nghiên cứu bảo mật khác nói rằng lỗi này có thể được sử dụng cho các cuộc tấn công quy mô lớn hơn.

Vụ hack này được tiến hành bởi hai hacker có biệt danh HackerGiraffe và j3ws3r nhằm vào các thiết bị Chromecast (vốn được cắm vào các thiết bị TV để xem các chương trình trực tuyến) để thiết bị này hiển thị một video khuyến khích người dùng đăng ký kênh YouTube của PewDieDie - một Youtuber người Thụy Điển rất nổi tiếng.

Điểm yếu IoT: Tin tặc chiếm quyền điều khiển hàng ngàn Chromecast
Tin tặc chiếm quyền điều khiển hàng ngàn Chromecast: điểm yếu IoT

Lỗi được đặt tên là CastHack, khai thác điểm yếu bảo mật của cả Chromecast và bộ định tuyến mà nó kết nối. Nguy hiểm ở đây là vụ hack này lợi dụng một thiết lập trên router có chức năng cho phép các thiết bị nhà thông minh có thể được xem ở chế độ công khai (public) trên mạng Internet. Hacker đã chiếm được quyền kiểm soát các thiết bị này và can thiệp nội dung, cho phát các đoạn video chỉ định.

Trong video YouTube mà hai hacker này dùng để thống kê số lượng thiết bị đã bị hack bởi hình thức này, con số lên đến hơn 3.000 thiết bị. Diễn đàn reddit nổi tiếng cũng ghi nhận có rất nhiều người đã đăng thông tin về việc TV nhà họ bị tấn công và hiển thị một video “lạ”.

Đây không phải là lần đầu tiên thiết bị này dính lỗi bảo mật. Năm 2014 khi Chrome mới ra mắt, một nhóm nghiên cứu bảo mật đã thực hiện thành công một cuộc tấn công trên mạng của người dùng bằng hình thức ngắt kết nối Chromecast khỏi mạng Wi-Fi mà nó được kết nối, khiến nó quay trở lại trạng thái chờ kết nối. Từ đó hacker sẽ chiếm quyền kết nối này và truyền phát nội dung tùy chỉnh lên thiết bị.

Hai năm sau, công ty bảo mật Pen Test Partners tại Anh cũng thực hiện thành công một hình thức tấn công tương tự giúp chiếm quyền điều khiển Chromecast nhà “hàng xóm” chỉ trong vài phút.

 

CastHack có thể bị khai thác qua internet, trong khi các cuộc tấn công của năm 2014 và 2016 được thực hiện trong phạm vi của mạng Wi-Fi. Tuy nhiên, cả hai cuộc tấn công đều cho phép tin tặc kiểm soát nội dung trên TV từ Chromecast. Điều này là cực kỳ nguy hiểm với các hacker nhắm mục tiêu là lừa đảo.

Một nhà nghiên cứu bảo mật cảnh báo, những lỗ hổng này sẽ còn là mối nguy đến các thiết bị gia đình thông minh khác, ví dụ như Amazon Echo - một chiếc loa thông minh điều khiển bằng giọng nói. Việc tấn công rất đơn giản, do Chromecast bị chiếm quyền để phát một nội dung video bất kỳ, đối tượng tấn công có thể tạo một video có giọng nói nhằm ra lệnh cho Amazon Echo. Từ đó mọi hoạt động hay thậm chí thông tin cá nhân trong nhà các thể bị khai thác.

Amazon Echo và các thiết bị thông minh khác không được đề cập trong vụ tấn công CastHack. Tuy nhiên những thiết bị IoT này không hẳn là an toàn. Cách đây không lâu, nhà nghiên cứu bảo mật người Canada là Render Man chỉ ra cách sử dụng bộ chuyển đổi âm thanh vào cửa sổ nhằm lừa thiết bị Amazon Echo trong nhà ra lệnh mở khóa cổng chính một ngôi nhà (do nhà sử dụng khóa thông minh điều khiển từ xa bằng giọng nói cho cửa).

HackerGiraffe cho biết những cuộc tấn công của họ thực ra có mục đích phơi bày những lỗ hổng bảo mật chứ không phải chỉ nhằm quảng cáo cho kênh YouTube PewDiePie. Đây không phải là một cảnh báo thừa. Với việc người người, nhà nhà ngày càng sử dụng đến các thiết bị thông minh có kết nối internet (IoT), khả năng bị tấn công từ xa là hoàn toàn có thể xảy ra và nó có thể gây nhiều hậu quả nghiêm trọng.

An Nhiên

Tư dinh giới siêu giàu có thể là "mồi ngon" cho hacker

Tư dinh giới siêu giàu có thể là "mồi ngon" cho hacker

Sự phát triển của "Internet vạn vật" đã mang tới một kỷ nguyên an ninh cá nhân mới, đặc biệt là đối với giới siêu giàu.

 
 

Không thể bỏ lỡ

.
 
Tin tặc đe dọa tiết lộ sự thật chấn động về vụ khủng bố 11/9
Tin tặc đe dọa tiết lộ sự thật chấn động về vụ khủng bố 11/9
Bảo mậticon  03/01/2019 

Nhóm tin tặc quốc tế Dark Overload vừa thông báo chúng đã đánh cắp 10 GB tài liệu từ một công ty luật có khả năng đưa ra những thông tin mật chấn động về vụ khủng bố lớn nhất trong lịch sử nước Mỹ ngày 11/9/2001.

 
Ngân hàng Mỹ thử nghiệm thẻ tín dụng có mã CVV động
Ngân hàng Mỹ thử nghiệm thẻ tín dụng có mã CVV động
Bảo mậticon  03/01/2019 

Ngân hàng PNC có trụ sở tại Hoa Kỳ đang thí điểm một loại thẻ tín dụng mới với số xác minh thẻ (CVV) được thay đổi tự động nhằm giảm gian lận trực tuyến.

 
Luật An ninh mạng chính thức có hiệu lực
Luật An ninh mạng chính thức có hiệu lực
Bảo mậticon  01/01/2019 

Với 7 chương, 43 điều, Luật An ninh mạng quy định về hoạt động bảo vệ an ninh quốc gia, bảo đảm trật tự, an toàn xã hội trên không gian mạng, bên cạnh đó là trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan.

 
Facebook lại "chia sẻ" dữ liệu người dùng, NASA bị hacker tấn công
Facebook lại "chia sẻ" dữ liệu người dùng, NASA bị hacker tấn công
Bảo mậticon  22/12/2018 

Facebook lại "chia sẻ" dữ liệu người dùng; NASA bị hacker tấn công; Công ty Internet bồi thường khách hàng vì mạng chậm,... là những thông tin nổi bật trong bản tin Công nghệ thứ 7 tuần này.

 
Đức cảnh báo nguy cơ bị tấn công mạng từ Trung Quốc
Đức cảnh báo nguy cơ bị tấn công mạng từ Trung Quốc
Bảo mậticon  21/12/2018 

Cơ quan An ninh Thông tin Liên bang Đức (BSI) vừa cảnh báo một số doanh nghiệp nước này bị Mỹ cho là nạn nhân của nhiều vụ tấn công mạng.

 
Facebook cho phép các hãng công nghệ lớn truy cập dữ liệu
Facebook cho phép các hãng công nghệ lớn truy cập dữ liệu
Bảo mậticon  20/12/2018 

Nhiều thỏa thuận mà Facebook hợp tác với các ứng dụng như Microsoft, Spotify, Netflix, Apple và Amazon cho phép các hãng công nghệ lớn này truy cập vào tin nhắn cá nhân và danh sách bạn bè của bạn.

Google và Facebook chịu phạt hàng trăm nghìn USD tại Mỹ
Google và Facebook chịu phạt hàng trăm nghìn USD tại Mỹ
Bảo mậticon  20/12/2018 

Vừa mới đây, hai hãng công nghệ khổng lồ là Google và Facebook đã đồng ý nộp phạt với số tiền trên vì đã vi phạm các quy định về quảng cáo chính trị của bang Washington (Mỹ).

Máy chủ NASA bị hack, thông tin nhân viên lộ ra ngoài
Máy chủ NASA bị hack, thông tin nhân viên lộ ra ngoài
Bảo mậticon  20/12/2018 

Cơ quan Hàng không Vũ trụ Mỹ (NASA) vừa xác nhận một trong những máy chủ của tổ chức này đã bị hack hồi tháng 10, tin tặc đã lấy đi thông tin cá nhân của nhiều nhân viên.

Huawei chi 2 tỷ USD để chứng minh không gián điệp cho Trung Quốc
Huawei chi 2 tỷ USD để chứng minh không gián điệp cho Trung Quốc
Bảo mậticon  20/12/2018 

Dường như cảm thấy mọi việc đang theo chiều hướng tồi tệ hơn, Huawei tuyên bố sẽ đầu tư 2 tỷ USD cho an ninh mạng trong 5 năm tới nhằm chứng minh hãng này không gián điệp cho Trung Quốc.

Facebook giải thích lý do cho Netflix và Spotify đọc và sửa tin nhắn người dùng
Facebook giải thích lý do cho Netflix và Spotify đọc và sửa tin nhắn người dùng
Bảo mậticon  20/12/2018 

Sau khi thừa nhận việc cho Netflix và Spotify can thiệp vào dữ liệu người dùng, Facebook ngụy biện khi cho biết, việc đọc/ghi tin nhắn là cần thiết để các ứng dụng này phát triển tính năng nhắn tin.

Chủ tịch Huawei lên tiếng sau khi bị nhiều nước "cấm cửa"
Chủ tịch Huawei lên tiếng sau khi bị nhiều nước "cấm cửa"
Bảo mậticon  19/12/2018 

Chủ tịch luân phiên của Huawei, Ken Hu kêu gọi các chính phủ ban hành lệnh cấm đối với thiết bị Trung Quốc đưa ra bằng chứng về các mối đe dọa an ninh bị cáo buộc, và cung cấp các kênh liên lạc để Huawei có thể hành động.

Tờ Wall Street Journal bị hack, đăng lời xin lỗi PewDiePie
Tờ Wall Street Journal bị hack, đăng lời xin lỗi PewDiePie
Bảo mậticon  19/12/2018 

Một người hâm mộ của PewDiePie đã tấn công trang báo nổi tiếng Wall Street Journal để bắt họ xin lỗi YouTuber nổi tiếng.

Séc cảnh báo sản phẩm Huawei gây hại cho an ninh quốc gia
Séc cảnh báo sản phẩm Huawei gây hại cho an ninh quốc gia
Bảo mậticon  19/12/2018 

Trái ngược với tuyên bố của Đức không tìm thấy bằng chứng Huawei gián điệp cho Trung Quốc cách đây vài ngày, Cộng hòa Séc coi sản phẩm Huawei và ZTE gây hại cho an ninh quốc gia.

Lỗ hổng trên Twitter làm lộ mã vùng điện thoại của người dùng
Lỗ hổng trên Twitter làm lộ mã vùng điện thoại của người dùng
Bảo mậticon  18/12/2018 

Sau khi phát hiện lỗ hổng bảo mật, Twitter đã đăng tải thông tin chi tiết lỗi này tại mục Trung tâm trợ giúp.

Đức nói Mạnh Vãn Chu không gián điệp cho Trung Quốc
Đức nói Mạnh Vãn Chu không gián điệp cho Trung Quốc
Bảo mậticon  18/12/2018 

Trong lúc Mỹ tung bằng chứng tố cáo giám đốc tài chính Huawei, Đức gây tranh cãi khi nói rằng không tìm thấy bằng chứng cho thấy bà Meng Wanzhou (Mạnh Vãn Chu) gián điệp cho Trung Quốc.

Tên tổng thống Mỹ Donald Trump được dùng làm mật khẩu phổ biến
Tên tổng thống Mỹ Donald Trump được dùng làm mật khẩu phổ biến
Bảo mậticon  18/12/2018 

Ngoài mật khẩu “donald”, đa số người dùng Internet vẫn sử dụng mật khẩu đơn giản “123456”, theo khảo sát của SplashData.

Facebook có thể chịu án phạt hàng tỷ USD
Facebook có thể chịu án phạt hàng tỷ USD
Bảo mậticon  17/12/2018 

Lỗ hổng làm ảnh hưởng đến 6,8 triệu hình ảnh của người sử dụng mới đây có thể khiến Facebook bị phạt hàng tỷ USD tại châu Âu.

Nguy cơ rò rỉ dữ liệu và bị tống tiền khi "ân ái" với búp bê tình dục
Nguy cơ rò rỉ dữ liệu và bị tống tiền khi "ân ái" với búp bê tình dục
Bảo mậticon  17/12/2018 

Sử dụng búp bê tình dục cũng dễ gặp những hậu quả khôn lường khi giới hacker có thể đánh cắp nội dung nhạy cảm của người dùng để đăng lên mạng internet.

10 mật khẩu "biếu không" cho tin tặc năm 2018
10 mật khẩu "biếu không" cho tin tặc năm 2018
Bảo mậticon  16/12/2018 

10 mật khẩu tệ nhất năm 2018 vừa được công bố khiến nhiều người bật cười. Có những mật khẩu dễ đến khó tin.

Hacker đang hướng mục tiêu vào website dịch vụ công các quốc gia
Hacker đang hướng mục tiêu vào website dịch vụ công các quốc gia
Bảo mậticon  13/12/2018 

Trong năm qua, tin tặc đã đánh cắp hơn 40 nghìn thông tin đăng nhập cho các dịch vụ công của các chính phủ tại 30 quốc gia.

 
 
 
Hoàn thiện thông tin gửi bình luận

HOẶC ĐĂNG NHẬP NHANH BẰNG TÀI KHOẢN