web-dev-qa-db-ja.com

Chromecastを「セキュリティの悪夢」として使用していますか?

オフィスネットワークでChromecastを使用したい。そうする 必須 UPnP(ユニバーサルプラグアンドプレイ)を有効にします。

クイック検索では、次のようなステートメントが表示されます。

米国国土安全保障省は、一般的なネットワークユニバーサルプラグアンドプレイ(UPnP)プロトコルを無効にするようにすべての人に要請しています...常にプロトコルのセキュリティ悪夢になります。

http://www.zdnet.com/article/how-to-fix-the-upnp-security-holes/

アプリケーションレイヤーの下のネットワークプロトコルについてはほとんど知りません。

UPnPに根本的かつ不可逆的な欠陥があるというのは本当ですか?

「セキュリティの悪夢」ではない緩和策はありますか?セキュリティを損なうことなくChromecastを使用する方法はありますか?

3
Paul Draper

ゲートウェイでUPnPをブロックしている限り、UPnPに対する直接の攻撃には問題ありません。後でリンクした同じ記事で:

まず第一に、インターネットゲートウェイでUPnPをブロックしていることを確認する必要があります。具体的には、LANの外側にあるシステムがポート1900/UDPにアクセスするのをブロックするファイアウォールが必要です。Windowsシステムの場合は、ポート2869/TCPをブロックする必要があります。もちろん、ファイアウォールと一緒にすべてを実行する必要があったのは、日常的に使用する必要があるポート(Webのポート80/TCPなど)を除くすべてのポートをブロックすることです。

ただし、攻撃者が別の攻撃ベクトルからネットワークに侵入して横方向に移動する傾向があります。ネットワークにラッチされると、通常の偵察にはUPnPを実行しているような脆弱なデバイスのスキャンが含まれます。この記事は、UPnPの脆弱性(または、可能性としては、さまざまなimplementations)の脆弱性を説明するのに適しているため、ファイアウォールの背後で脆弱なプロトコルを実行するリスクを検討する必要があります。

3
armani

非常にわずかな改善は、それをそれ自身のネットワークに置き、一時的にそれと相互作用しているどんなデバイスでもそのネットワークに切り替えることです。曲やYouTube動画を1つずつ選択するよりも、電話からラジオサービスストリームをオンにしたり、YouTubeの後でプレイリストをキャストしたりする方が簡単です。

参考として、いくつかの関連リンクを示します。

UPnPなしで(下部に)使用できるという議論があります: https://nakedsecurity.sophos.com/2019/01/04/dont-fall-victim-to-the-chromecast -hackers-heres-what-to-do /

有名な攻撃であるPewDiePieを使用しているため、UPnPを無効にすることで問題が解決するかどうかは不明です(記事のその他のリンク)。

2人は、ユニバーサルプラグアンドプレイ(UPnP)を無効にすることで問題が解決するはずであると述べましたが、これは専門家によって異議が唱えられています。

2018年からの位置情報のプライバシーにも問題があります。その問題が修正されたかどうかはわかりません: https://bgr.com/2018/06/19/chromecast-and-google-home-location-vulnerability-fix /

私にとって、ユーザーが別の(ゲスト)ネットワークからそれを制御できれば最高です。これは不可能ではありませんが、いくつかの詳細について説明しています: https://www.reddit.com/r/Chromecast/comments/250pa0/should_it_be_possible_to_cast_from_a_different/

そして、いいえを確認するGoogleの返信: 別のネットワーク上のデバイスにキャストします。-Chromecastヘルプ

異なるVLANで実行する試みの議論: https://community.ui.com/questions/Chromecast-across-VLANs/5cf91d86-91d5-4d05-a832-0cc8226f26c2

Chromecast全体VLAN-スーパーユーザー

0
alchemy