In den letzten Tagen haben viele Besitzer eines Chromecasts sicherlich nicht schlecht gestaunt, als plötzlich automatisch ein Video darauf abgespielt wurde, dass zum einen zum Abonnieren des YouTubers PewDiePie aufruft, und zum anderen darüber informiert, dass der Stick über das Internet erreichbar sei: googlewatchblog.de.
Dahinter stecken (mindestens) zwei Hacker, der "Angriff" selbst funktioniert jedoch ohne einen Hack. Stattdessen nutzen die beiden eigenen Angaben zufolge den Umstand aus, dass auf vielen Modems und Routern die "Universal Plug and Play" (UPnP)-Funktion aktiviert ist, wodurch Chromecast-Sticks aufgrund von Portweiterleitung aus dem Internet erreichbar sind.
Werbeblocker aktiv?
Vermutlich aufgrund eines Werbeblockers kann an dieser Stelle leider keine Werbung angezeigt werden. Als Blog ist diese Website jedoch darauf angewiesen, um diverse Kosten abdecken zu können. Vielleicht möchtest du Servaholics ja in deinem Werbeblocker als Ausnahme hinzufügen und so unterstützen? 🙂
Über einen speziellen Aufruf, z.B. mittels curl -H "Content-Type: application/json" http://IP_OF_CHROMECAST:8008/apps/YouTube -X POST -d 'v=VIDEO_ID', konnten sie beliebige Videos auf Chromecasts abspielen, die sie mittels einer speziellen Suchmaschinen gefunden haben.
Mittlerweile hat Google - vermutlich über ein Update - diesen Aufruf blockiert, zudem soll bald ein weiterer Patch folgen: googlewatchblog.de. Das Unternehmen betont jedoch, dass es ein Problem der Router und nicht der Chromecasts sei. Entsprechend ist noch unklar, welche Änderung Google konkret plant.
Bereits seit Jahren bekannt ist nämlich zudem, dass es weitere URLs gibt, über die man bspw. Chromecasts neustarten, zurücksetzen oder Informationen über das Gerät auslesen kann: golem.de. Bis dato funktionieren diese weiterhin unverändert.
Sofern eine andere Methode gefunden werden würde, um bestimmte Videos aus der Ferne auf fremden Sticks abzuspielen, wäre es damit bspw. auch denkbar, Videos mit bestimmten Sprachbefehlen für andere Smart Home-Geräte wie Amazon Echos mit Alexa abzuspielen, und so z.B. Einkäufe zu tätigen oder sogar Überwachungskameras zu deaktivieren (via googlewatchblog.de).
Wer auf Nummer sicher gehen will, der sollte überprüfen, ob die UPnP-Funktion des eigenen Modems bzw. Routers deaktiviert ist - auch wenn noch nicht ganz klar ist, ob diese wirklich für den Angriff notwendig war bzw. ein Deaktivieren Abhilfe schafft: techcrunch.com. Allerdings warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) schon 2016 vor der Übernahme von "Internet of Things" (IoT)-Geräten und empfahl damals unter anderem auch, die UPnP-Funktion zu deaktivieren: bsi-fuer-buerger.de.