Hackers misbruiken lek in Google Chromecast en Google Home
Google Home-apparaten zoals de Google Chromecast en Google Home-speakers blijken relatief eenvoudig via het web te hacken. Dat hebben twee hackers aangetoond door willekeurige video’s en audiofragmenten op tienduizenden apparaten van Google af te spelen.
Het probleem is dat apparaten zoals de Chromecast en Google Home geen authenticatie gebruiken. Daardoor is het heel eenvoudig om als buitenstaander op de apparaten in te loggen, mits ze verbonden zijn met het internet en de poorten open staan. Dit kan handmatig gedaan worden, maar ook door een techniek die UPnP heet. Daardoor worden apparaten automatisch door middel van een open poort met de buitenwereld verbonden.
Video en audio afspelen en persoonlijke gegevens
Naast het afspelen van audio en video op de Google Chromecast en Home zijn ook een beperkt aantal persoonlijke gegevens toegankelijk. Het gaat dan om de Wi-Fi-netwerken en Bluetooth-apparaten in de buurt, maar ook om wekkers te verwijderen. Daarnaast kan video of audio afgespeeld worden en kunnen de Google-apparaten op afstand terug naar de fabrieksinstellingen gezet worden. Ook televisies met ingebouwde ondersteuning voor Chromecast zijn in beperkte mate kwetsbaar.
Google is op de hoogte van het probleem, maar wanneer een patch volgt is nog onduidelijk. Op hun website schrijven de hackers dat ze binnen mum van tijd bijna 80.000 kwetsbare apparaten hebben gevonden. Aanvankelijk werd een YouTube-video afgespeeld die gehackte gebruikers op de hoogte stelde van de kwetsbaarheid, maar Google heeft die video offline gehaald.
Oplossing lek Google Chromecast en Google Home
Het lek wordt veroorzaakt door een API in de Google-apparaten die geen authenticatie gebruikt. Dit is een fundamenteel probleem dat niet zomaar opgelost kan worden, want dezelfde API wordt gebruikt voor het instellen van de apparaten. Als Google een patch uitbrengt, zullen ook apps die met Google Home werken aangepast moeten worden. De snelste oplossing lijkt dan ook om UPnP in je router uit te schakelen. Of Google moet ervoor zorgen dat zijn apparaten simpelweg geen poort naar buiten openen.