Chromecast-устройства опасносте

Тут развивается интересная и в чем-то даже забавная история с устройствами с поддержкой технологии трансляций видео-контента Chromecast. В декабре я рассказывал про то, как кто-то рассылает на доступные в интернете принтеры с призывом подписываться на канал видеоблоггера в YouTube. Так вот, сейчас происходит нечто подобное, но теперь с медиаплеером Google Chromecast. Хакер Жираф, который уже рассылал приветы на принтеры, поделился новой находкой. Обычно устройства Chromecast, Smart ТВ, и устройства Google Home используют порты 8008, 8009 и 8443 для функций по их управлению, и по умолчанию это работает внутри локальной сети. Некоторые неправильно настроенные роутеры с включенным UPnP делают эти порты доступными в интернете, а дальше дело техники: скрипт ищет такие устройства с портами в интернете, а, обнаружив такое устройство, второй скрипт пытается заставить устройство проиграть определенное видео с YouTube. В видео говорится о том, что “ваше устройство раскрывает вашу информацию”, а также призывает подписаться на видеоблогера Pewdiepie на YouTube. В целом ничего нового они не придумали — об этом было известно еще в 2014 году, но тем не менее. Сам факт, что устройство с Chromecast можно такой командой заставить проиграть произвольное видео, должен как минимум у Google вызвать жжение в определенной точке.

Страничка проекта со статистикой и FAQ здесь https://casthack.thehackergiraffe.com

Видео также призывает посмотреть вот эту инструкцию о том, как исправить проблему. Хотя проще всего, конечно, либо отключить UPnP на роутере, или убедиться, что роутер не прокидывает порты 8008, 8009 и 8443 в интернет. Кто-то уже предположил, например, что атаку можно сделать еще более “веселой”: можно заставить телевизор проиграть видео, в котором голос даст команду колонке Amazon Echo купить какой-нибудь товар на Amazon, или установить будильник на 3 часа утра, или отключить систему сигнализации в доме. Будущее со всеми его подключенными к интернету устройствами будет, безусловно, прекрасным!