Sfruttando un bug ignorato da Google per quasi cinque anni, un hacker ha preso il controllo di migliaia di Chromecast, o dispositivi con Chromecast integrato, lanciando un video del noto Youtuber PewDiePie.
L’hacker Giraffe ha avuto accesso in remoto ai televisori e dispositivi smart che Chromecast integrato di decine di migliaia di utenti, facendo loro apparire un pop-up con un link ad una pagina con l’attuale numero di dispositivi interessati.
Nonostante queste intenzioni apparentemente nobili, il messaggio faceva anche partire un video YouTube sulla controversa personalità di PewDiePie, una mossa che in passato aveva coinvolto anche numerosi stampante connesse, colpite da hacking.
Il bug è stato soprannominato CastHack e utilizza l’Universal Plug and Play (UPnP), funzionalità presente sui router che permette di ottenere da remoto l’accesso ai dispositivi collegati sulle reti locali. E’ possibile bloccare l’hacking disattivando questo tipo di accesso alla rete tramite UPnP sui pannelli dei propri router.
Anche se tecnicamente questo hack è reso possibile tramite una falla di sicurezza nei router degli utilizzatori, l’exploit è legato alla Chromecast, ed era noto sin dall’anno di lancio del dispositivo.
Nel 2014, la società di sicurezza Bishop Fox ha scoperto che si poteva ottenere il controllo di una Chromecast rimuovendo la sua rete Wi-Fi e inizializzandola allo stato di fabbrica.
Peraltro, mentre gli attacchi iniziali richiedevano che l’hacker fosse nel raggio di copertura della rete Wi-Fi del bersaglio, questi nuovi attacchi possono avvenire da remoto, tramite la falla UPnP accennata in precedenza.
