CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

04/01/2019

Fallo de seguridad en Google Chromecast

Chrome Un grupo de hackers logra secuestrar dispositivos Chromecast mediante la explotación de un error que supuestamente ha sido ignorado por Google durante casi cinco años. Este error permitió a los atacantes mostrar un mensaje emergente de seguridad y propaganda a favor de la estrella de Youtube PewDiePie en la pantalla conectada al dispositivo.

Los hackers secuestraron miles de docenas de dongles Chromecast, aunque nos centramos en Chromecast para el streaming, indican que como dispositivos afectados también estarían los altavoces inteligentes de Google Home y algunas televisiones inteligentes (Smart TVs).

Los atacantes buscaron de forma remota dispositivos Chromecasts expuestos a Internet a través de enrutadores mal configurados que tienen Universal Plug and Play (UPnP) habilitado de forma predeterminada. Luego, explotaron un fallo de diseño en Chromecast que les permitió acceder a los dispositivos y secuestrar sus transmisiones de medios para mostrar un mensaje de video en televisores conectados. Llegaron a crear un sitio web llamado “CastHack” que permitía recopilar todo tipo de datos de las víctimas, incluyendo todos los dispositivos conectados a esta tecnología mediante Wi-Fi. Esto puede permitir a un atacante, entre otras cosas, forzar a los dispositivos afectados para que reproduzcan los contenidos a su elección, cambiar el nombre de los dispositivos, forzar el reinicio de fábrica, reiniciar el dispositivo, forzarlo a olvidar todas las redes WiFi, incluso forzar al dispositivo afectado a vincularse con nuevas redes.

Más información de la noticia y como protegerse aquí.

Fuente: The Hacker News

CSIRT-CV