Chromecast met Google TV bevat ernstig beveiligingslek
Enkel de HD-versie van de Chromecast met Google TV is kwetsbaar voor de beveiligingslekken. Als je de 4K-versie aan je televisie hebt hangen is er niets aan de hand. Dat meldt beveiligingsonderzoeker Nolen Johnson van DirectDefense in een blogpost. Volgens Nolen stellen de bugs (CVE-2023-48424, CVE-2023-48425 en CVE-2023-6181) hackers in staat malafide firmware en andere malware te installeren op de Chromecasts.
Die malafide software stelt hackers vervolgens in staat data van gebruikers te onderscheppen. Het gaat daarbij onder meer om de audio van microfoons op de afstandsbediening. Opvallend is dat de hackers de microfoon van die afstandsbediening ook op afstand kunnen inschakelen. Malware zou hackers daarnaast toegang kunnen geven tot inloggegevens van de apps op je Chromecast. Andere gegevens van die apps zouden eveneens gevaar lopen, stelt de beveiligingsonderzoeker.
Tweedehands Chromecasts
Voor het installeren van de kwetsbaarheid moeten hackers gebruikmaken van een bug in de Secure Boot-omgeving van Chromecasts. Normaliter blokkeert die omgeving de installatie van firmware zonder juiste ‘handtekeningen’. Via de kwetsbaarheden kan dit echter worden omzeild en kan zulke malafide firmware alsnog geïnstalleerd worden.
Eenvoudig is dat proces wel niet. In eerste plaats omdat de hacker fysiek toegang moet hebben tot een Chromecast. Vervolgens moeten er enkele kabels en een header gemonteerd worden om direct met de interne hardware van de Chromecast met Google TV te communiceren. Je Chromecast kan dus niet op afstand geïnfecteerd raken.
Wel waarschuwt Nolen voor Chromecasts die op (digitale) marktplaatsen worden aangeboden. Van zulke Chromecasts is de geschiedenis uiteraard niet bekend, waardoor het lastig te bepalen is of er schadelijke firmware geïnstalleerd werd. Voor de zekerheid kan je de behuizing van de streamingstick controleren. Is die onbeschadigd, ga er dan vanuit dat er niets aan de hand is. Bij nieuwe, gesealde exemplaren zou het probleem sowieso niet mogen spelen.
Update beschikbaar
Intussen heeft Google de drie bugs wel opgelost. De oplossing zit ingebakken in de update die sinds 5 december wordt uitgerold naar de Chromecast met Google TV (HD). Gebruikers met een 4K-versie hoeven zich geen zorgen te maken. Die streamingstick is niet gevoelig voor deze kwetsbaarheid.