Unos hackers (dos, para ser exactos), se jactaban hoy en Twitter de haber conseguido "hackear" más de 70.000 Google Chromecast, el dispositivo de retransmisión de contenido de la Gran G. Al capturarlo, este mostraba una pantalla advirtiendo que estaba siendo expuesto "al Internet público" y mostrando "información sensitiva sobre ti". También instaban a suscribirse al canal de PewDiePie, pero eso es harina de otro costal.
Our chromecast and smart TV hack is now complete. Thank you and please, stay say, and most importantly: never leave a port open someone can mess with.https://t.co/H2WOHQNkE8
— j3ws3r 🖨 (@j3ws3r) 3 de enero de 2019
Thank you to my partner @HackerGiraffe
Los responsables aseguran que la idea de fondo no era promocionar el canal del conocido youtuber, sino alertar de un fallo de seguridad en los Google Chromecast, auqnue en realidad tiene que ver más con la configuración del router que con el dispositivo en sí.
Cómo evitar que capturen tu Chromecast
El exploit utilizado por j3ws3er y hackergiraffe, como se llaman los sujetos, es capaz de conseguir acceso al Chromecast y, de esa forma, permitir la reproducción de contenido de forma remota, renombrar el dispositivo, resetearlo u olvidar todas las claves WiFi.
No es que los Chromecast no sean seguros (aunque ya se ha alertado en alguna ocasión sobre alguna vulnerabilidad explotable), sino que tiene que ver con el protocolo Universal Plug and Play, más conocido por sus siglas UPnP.
Dicho sistema permite a los dispositivos abrir y cerrar puertos de forma autónoma para modificar la conexión en función de las necesidades. Es especialmente útil para los juegos online para tener una NAT (Network Address Translation) abierta óptima y mejorar la estabilidad de la conexión. De acuerdo a Google:
"Hemos recibido informes de usuarios que han visto un vídeo no autorizado reproducido en sus televisores a través de un dispositivo Chromecast. Esto no es un problema específico de Chromecast, sino que es el resultado de la configuración del router, que hace que los dispositivos inteligentes, incluyendo Chromecast, sean accesibles públicamente. Para restringir la capacidad de reproducir vídeos externos en sus dispositivos, los usuarios pueden desactivar Universal Plug and Play (UPnP)".
Así pues, para desactivar UPnP, basta con acceder a la configuración interna del router tecleando la dirección "192.168.1.1" (sin las comillas) en la barra de búsqueda e introducir las credenciales de acceso. Una vez dentro, tendrás que buscar el apartado correspondiente. En mi caso, que tengo un router Livebox de Orange, el acceso está en Configuración avanzada > Configuración de red > UPnP, aunque variará según el que uses.
Así se desactiva UPnP en un router Livebox de Orange.
Una vez allí verás que la casilla está marcada, por lo que solo tienes que desactivarla y guardar la configuración. Hecho esto, el Chromecast perderá la posibilidad de abrir puertos de forma autónoma y no podrán, en teoría, volver a acceder a él.
Vía | Techcrunch
Ver 7 comentarios