技術支援
文件
登錄
聯繫我們
谷歌Chromecast生命周期結束的企業風險
若昂·科雷亞
2023年6月22 日 - 技術佈道師
谷歌最近宣佈 其第一代Chromecast設備的使用壽命結束。此舉基本上為這些設備的更新、安全補丁和技術支援敲定了最後的釘子。雖然Chromecasts將繼續運行,但缺乏安全支援使它們直接進入潛在責任類別,特別是考慮到仍有大量人在家工作。
Chromecast是谷歌最暢銷的硬體產品,僅在2014年就銷售了1000萬台,並在股東電話會議上反覆強調。它的吸引力在於它的簡單性:沒有預設介面,無法運行應用程式,並且缺乏自己的任何控制機制。該設備僅用作YouTube等各種應用程式中投射按鈕的媒體接收器。
因此,原始的Chromecast技術堆疊現在實際上已經過時了。雖然設備將繼續工作,但它們將不再收到任何安全更新。
在家工作元素
很大一部分工作力仍在遠端工作。根據斯坦福大學 2023 年初進行的一項研究,美國 27% 的全職帶薪工作日是在家工作的 。鑒於銷售的原始Chromecast設備數量眾多,可以合理地假設這些遠端工作者中的許多人在其家庭網路中都有這些設備。
安全隱患
過去的數據洩露已經表明,家中未打補丁的系統會如何破壞企業網路。一個發人深省的例子是LastPass的大規模違規行為,這是由於 工程師未能更新家用計算機上的Plex軟體而發生的。
這次失敗使攻擊者能夠利用Plex中近三年的漏洞(當時已經在當代版本的Plex上修補)在工程師的計算機上實現代碼執行。LastPass員工從未升級他們的軟體來啟動補丁,這突出了軟體過時的風險。
同樣的風險也適用於Chromecast設備。即使僱主對連接到內部系統的設備實施嚴格的補丁要求,Chromecast 也不會直接連接。相反,它作為員工家庭網路中的潛在責任存在。它可以作為攻擊者訪問家庭網路中其他系統的墊腳石,並從那裡訪問企業網路內的連接系統。網路內的這種類型的橫向行動通常出現在具有物聯網設備的分段不良的網路中。可以公平地假設,只有剩餘數量的家庭網路將具有任何類型的分段,將Chromecast等媒體加密狗與其他系統分開。
緩解策略
由於威脅的間接性質,減輕這種風險具有挑戰性。鼓勵員工升級到仍接收安全更新的較新設備可能是一種策略。僱主還可以考慮對遠端訪問公司網路實施更強大的安全措施,以説明防止任何潛在的違規行為。提高對企業可以管理和實施的系統上的已知漏洞(包括連接客戶端設備)及時修補的要求也是一個很好的起點。
儘管如此,原始Chromecast的生命週期結束提醒人們網路安全威脅的不斷發展,尤其是在遠端工作的背景下。它強調個人和組織都需要保持警惕,在連接到其網路的所有設備上保持最新的安全措施。這也是另一個鮮明的提醒,即對網路內所有正在運行的設備提供適當支援的重要性和必要性,無論它們本質上多麼重要,或者乍一看似乎多麼重要。你的 Chromecast,就像你的烤麵包機一樣,可以而且會攻擊你。
結語
谷歌第一代Chromecast設備生命週期結束的宣佈凸顯了遠端工作環境中與過時設備相關的潛在安全風險。雖然這些設備將繼續運行,但缺乏安全更新使它們容易受到利用,這可能會對個人和組織產生嚴重影響。
這些設備在用於遠端工作的家庭網路中的普及增加了攻擊者通過橫向行動訪問企業系統的風險。為了降低這些風險,鼓勵員工升級到較新的設備,實施強大的遠端訪問安全措施以及實施及時修補是重要的步驟。
這提醒人們不斷發展的網路安全格局,以及在所有連接設備上保持最新安全措施的必要性。Chromecast設備的生命週期結束強調了正確支持網路中所有正在運行的設備的重要性,因為即使是看似微不足道的設備也可能成為潛在的駭客攻擊目標。
