Een hacker die zichzelf HackerGiraffe noemt heeft op allerlei publiek toegankelijke Chromecasts en smart-tv's een YouTube-video afgespeeld waarin reclame wordt gemaakt voor de Zweedse Youtuber PewDiePie en wordt uitgelegd hoe gebruikers hun apparaat kunnen beveiligen.

Op een website die de hacker over "CastHack" online zette wordt gesteld dat meer dan 72.000 Chromecasts en smart-tv's met ingebouwde Chromecast via internet benaderbaar zijn, maar op Twitter laat de hacker weten dat er bijna 180.000 Chromecasts direct met internet zijn verbonden. Via een Chromecast kunnen gebruikers beelden van hun telefoon of laptop naar een televisie streamen.

Om de video op de apparaten van anderen af te spelen maakt de hacker gebruik van een programmeerinterface (API) van Google. Via deze api is het mogelijk om verbinding met publiek toegankelijke Chromecasts te maken en de video af te spelen. Ook kan het apparaat worden hernoemd en is het mogelijk om informatie te verzamelen, zoals het wifi-netwerk waarmee de Chromecast is verbonden. Tevens kunnen de fabrieksinstellingen worden teruggezet.

De aanval is mogelijk dankzij Universal Plug and Play (UPnP), waardoor de Chromecasts en smart-tv's voor het internet toegankelijk zijn. Zowel HackerGiraffe als Google adviseren gebruikers dan ook om UPnP op hun router uit te schakelen, alsmede poorten 8008, 8443 en 8009 niet te forwarden. Google zou daarnaast mogelijk maatregelen hebben getroffen om misbruik van de API tegen te gaan, maar dit is niet bevestigd, zo meldt Bleeping Computer.

De YouTube-video die op de Chromecasts werd afgespeeld is door de videodienst van het platform verwijderd. HackerGiraffe was eerder verantwoordelijk voor het printen van een document op tienduizenden printers waarin werd opgeroepen om het YouTube-kanaal van PewDiePie te volgen.

Bron: Security.nl