• IT-Karriere:
  • Services:

CastHack: Chromecasts spielen unfreiwillig Youtube-Video

Ein Hacker-Duo übernimmt Tausende Chromecasts. Darauf zeigen sie als Sicherheitshinweis ein Youtube-Video - mit Werbung für den bekannten Youtuber PewDiePie.

Artikel veröffentlicht am ,
Über das Internet verwundbar: Chromecast
Über das Internet verwundbar: Chromecast (Bild: Mike Mozart/CC-BY 2.0)

Viele Tausend Chromecasts und smarte TVs sind über das Internet erreichbar - und enthalten eine Sicherheitslücke. Über diese konnte das Hacker-Duo j3ws3r und Hackergiraffe ein Youtube-Video auf den Chromecasts abspielen, das die Eigentümer auf die Sicherheitslücke hinwies. Außerdem forderten sie ihr unfreiwilliges Publikum dazu auf, dem Kanal des bekannten Youtubers PewDiePie zu folgen.

Stellenmarkt
  1. Allianz Lebensversicherungs - AG, Stuttgart
  2. operational services GmbH & Co. KG, Berlin, Frankfurt am Main, Wolfsburg, Braunschweig, München

Für den CastHack wurden zwei Lücken ausgenutzt. Viele Router verwenden Universal Plug and Play (UPnP), das die Konfiguration der Netzwerkeinstellungen für IoT-Geräte (Internet of Things) ohne Benutzerinteraktion übernehmen kann. Dieses erkennt Googles Chromecast und richtet eine Port-Weiterleitung ein: Der Chromecast ist über das Internet zu erreichen.

Mit Zugriff auf den Chromecast, ob lokal oder über das Internet, kann dieser mit einer Deauth-Attacke übernommen werden. Bereits 2014 und 2016 wurden Deauth-Attacken demonstriert. Wurde dem Chromecast die Verbindung zum Internet genommen, fiel er in den Einrichtungsmodus zurück. Hierdurch konnten Angreifer den Chromecast zum Abspielen von Medieninhalten bringen, ihm einen neuen Namen zuweisen oder das Gerät komplett zurücksetzen.

Abhilfe und vorerst keine Hackergiraffe mehr

Mit ihrem Angriff wollten j3ws3r und Hackergiraffe Chromecast auf die Sicherheitslücken aufmerksam machen und sie hofften, dass diese schnell geschlossen werden. Ein bösartiger Angreifer könnte beispielsweise Audiosignale abspielen und damit Sprachassistenten wie Amazons Alexa oder Google Assistant triggern. Das Hacker-Duo empfiehlt, UPnP auf dem Router zu deaktivieren. Alternativ kann die Port-Weiterleitung der Ports 8008, 8443 und 8009 deaktiviert werden. Auch Google kündigte mittlerweile an, die Sicherheitslücke schließen zu wollen.

Hackergiraffe hat am 3. Januar, kurz nach dem CastHack, all seine Twitter-Posts, seinen Server und seine Konten bei Github und Cloudflare gelöscht. Er sei nicht dafür gemacht, derart in der Öffentlichkeit zu stehen und Drohungen zu erhalten, erklärt er auf einem Audio-Post auf Twitter, einem der letzten verfügbaren Posts des Hackers.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (heute u. a. Laptops, Gaming-Zubehör, Samsung-TVs, Drohnen, Smart Home Produkte)
  2. (u. a. 55 Zoll ab 449,99€)

NeoCronos 08. Jan 2019

Kann jetzt nur auf meiner Fritzox 7950 nachschauen, aber da scheint es deaktiviert zu...

robinx999 06. Jan 2019

Man kann drüber streiten, aber viele sehen es als Designschwäche an, dass überhaupt...

jg (Golem.de) 03. Jan 2019

Ist geändert, danke für den Hinweis.


Folgen Sie uns
       


Samsungs 49-Zoll-QLED-Gaming-Monitor - Test

Der Samsung CRG9 ist nicht nur durch sein 32:9-Format beeindruckend. Auch die hohe Bildfrequenz und sehr gute Helligkeit ermöglichen ein sehr immersives Gaming und viel Platz für Multitasking.

Samsungs 49-Zoll-QLED-Gaming-Monitor - Test Video aufrufen
In eigener Sache: Golem.de sucht Produktmanager/Affiliate (m/w/d)
In eigener Sache
Golem.de sucht Produktmanager/Affiliate (m/w/d)

Attraktive Vergünstigungen für Abonnenten, spannende Deals für unsere IT-Profis, nerdiger Merchandise für Fans oder innovative Verkaufslösungen: Du willst maßgeschneiderte E-Commerce-Angebote für Golem.de entwickeln und umsetzen und dabei eigenverantwortlich und in unserem sympathischen Team arbeiten? Dann bewirb dich bei uns!

  1. In eigener Sache Aktiv werden für Golem.de
  2. Golem Akademie Von wegen rechtsfreier Raum!
  3. In eigener Sache Wie sich Unternehmen und Behörden für ITler attraktiv machen

Arbeitsklima: Schlangengrube Razer
Arbeitsklima
Schlangengrube Razer

Der Gaming-Zubehörspezialist Razer pflegt ein besonders cooles Image - aber Firmengründer und Chef Tan Min-Liang soll ein von Sexismus und Rassismus geprägtes Arbeitsklima geschaffen haben. Nach Informationen von Golem.de werden Frauen auch in Europa systematisch benachteiligt.
Ein Bericht von Peter Steinlechner

  1. Razer Blade Stealth 13 im Test Sieg auf ganzer Linie
  2. Naga Left-Handed Edition Razer will seine Linkshändermaus wieder anbieten
  3. Junglecat Razer-Controller macht das Smartphone zur Switch

Netzwerke: Warum 5G nicht das bessere Wi-Fi ist
Netzwerke
Warum 5G nicht das bessere Wi-Fi ist

5G ist mit großen Marketing-Versprechungen verbunden. Doch tatsächlich wird hier mit immensem technischem und finanziellem Aufwand überwiegend das umgesetzt, was Wi-Fi bereits kann - ohne dessen Probleme zu lösen.
Eine Analyse von Elektra Wagenrad

  1. Rechenzentren 5G lässt Energiebedarf stark ansteigen
  2. Hamburg Telekom startet 5G in weiterer Großstadt
  3. Campusnetze Bisher nur sechs Anträge auf firmeneigenes 5G-Netz

    •  /