CastHack: 72,341 Chromecast sono stati violati

di Michele Pinassi

“If you came here because you’re a victim of #CastHack, then know that your Chromecast/SmartTV/GoogleHome is exposed to the public internet, and is leaking sensitive information related to your device and home.”

SIENA. Che fantastica invenzione è la Smart TV! Finalmente, l’elettrodomestico più presente nei salotti italiani diventa, da semplice visualizzatore di contenuti, un dispositivo interattivo dove poter guardare film in streaming, visualizzare le nostre foto, le notizie, giocare…

Smart e insicuro

Il segnale radiotelevisivo viene trasmesso in broadcast (compreso ovviamente la DBTV, il c.d. “digitale terrestre”): significa, in poche parole, che un solo soggetto trasmette e tutti gli altri ricevono e basta. Per poter avere un feedback da parte degli utenti, che sia la richiesta di una trasmissione specifica in streaming o la risposta ad un sondaggio, è necessario un canale che permetta alle Smart TV (ed a tutti gli altri dispositivi IoT che stanno invadendo le nostre case) di comunicare con il fornitore del servizio (ad es. Netflix, Google, Amazon…). Per poter beneficiare di questi servizi è necessaria una connessione ad Internet, che può avvenire tramite la linea ADSL ma anche attraverso un servizio WiFi o WiMax o 3G/LTE.

Se non ben configurata e protetta, questa connessione espone all’intera Rete alcune “porte” che permettono l’accesso da remoto al sistema di controllo del nostro dispositivo smart. In questo caso, le porte incriminate sembrerebbero essere le 8008, 8443, 8009, più il già noto servizio UPnP (Universal Plug and Play).

CastHack

In questi giorni, proprio a causa di questa falla (che sarebbe opportuno chiamare anche “errata configurazione”), oltre 73000 dispositivi sono stati controllati da remoto dai due hacker @HackerGiraffe e @j3ws3r, che si sono divertiti a far riprodurre un messaggio video di invito ad iscriversi al canale Youtube PewDiePie (vi ricorda qualcosa? Si, esatto, è lo stesso hacker che qualche settimana fa ha attaccato le stampanti di mezzo mondo…).

L’attacco, battezzato CastHack, mira a sensibilizzare gli utenti (almeno secondo gli autori) sulla necessità di fare maggiore attenzione alla configurazione dei dispositivi IoT che abbiamo in casa. In particolare, sottolineano come sia possibile per un attaccante, nel caso di una errata configurazione, identificate “What WIFI your Chromecast/Google Home is connected to, bluetooth devices it has paired to, how long it’s been on, what WiFi networks your device remembers, what alarms you have set, and much more.

Sulla pagina web dedicata all’attacco viene anche indicato come risolvere l’eventuale vulnerabilità: “Disable UPnP on your router, and if you’re port forwarding ports 8008/8443/8009 then STOP forwarding them.”

cURL a Chromecast!

Quando ho letto i dettagli tecnici dell’attacco sull’interessante post “Hacking Google Chromcast”, sono sobbalzato sulla sedia: davvero si tratta di una banale richiesta HTTP alla porta 8008, eseguibile con un semplice cURL?

A quanto pare, infatti, c’è una interessante serie di chiamate API “non ufficiali” dei dispositivi Google Home eseguibili attraverso HTTP sulle porte incriminate (8008,8443,8009…). E quindi chiunque colleghi in rete questo tipo di dispositivi (una veloce ricerca con shodan.io rileva che in Italia ci sono circa 780 chiavette Chromecast collegate direttamente ad Internet) è suscettibile di essere attaccato.

Viene sinceramente da chiedersi per quale motivo si possa sentire l’esigenza di collegare tali dispositivi direttamente ad Internet

Don’t be stupid!

Ho già ricordato quali tipologie di dati sono suscettibili di essere carpiti con questo attacco: i dati di connessione alla rete, eventuali dispositivi bluetoothpaired“, gli altri dispositivi connessi alla medesima rete ed altro. Le conseguenze dipendono molto da quanto la vostra realtà può essere interessante per un eventuale attacco. Diciamo che per l’utente medio, casalingo, il rischio è relativamente basso. Tuttavia la prevenzione, in questi casi, è fondamentale: mantenete sempre sotto controllo ciò che avete collegato alla Rete. E se avete bisogno di supporto, rivolgetevi ad un professionista. Se credete che un professionista costi troppo, è perché ancora non sapete quanto vi costerà un lavoro fatto male (cit.)!

*www.zerozone.it