تجاهل "جوجل" لثغرات Chromecast يعرض ملايين المستخدمين لخطر انتهاك الخصوصية
بعد تجاهل شركة جوجل لثغرة CastHack على أجهزة بث كروم كاست Chromecast لما يقارب خمسة أعوام، بات ملايين المستخدمين في العالم عرضة لهجمات انتهاك الخصوصية عبر جهاز البث، حيث أشار باحثون أمنيون إلى أن هذه الثغرة يمكن استخدامها في هجمات أكثر ضررا في حال تركت دون تصحيح، حيث قام بعض المخترقين ببث إشعار على مجموعة من الأجهزة المصابة حول العالم وعرضها على شاشات التلفزيون المتصل بجهاز البث، وحذر الباحثون من أن جهاز التوجيه الذي تمت تهيئته بطريقة خاطئة يعرض جهاز البث والتلفزيون الذكي لخطر القرصنة وانتهاك الخصوصية.
وقام مخترقون بجعل أجهزة البث الخاصة بالمستخدمين تقوم على تشغيل مقاطع فيديو على "اليوتيوب"، بما في ذلك مقاطع الفيديو التي صنعت خصيصا، كما طلب المخترقون من المستخدمين الاشتراك في قنواتهم.
وتستغل هذه الثغرة نقطة الضعف في كل من أجهزة Chromecast وجهاز التوجيه المتصل به، حيث تعمد بعض أجهزة التوجيه المنزلية إلى تمكين بروتوكول UPnP، وهو بروتوكول يمكن استغلاله بطرق عديدة، حيث يقوم UPnP بإعادة توجيه المنافذ من الشبكة الداخلية إلى شبكة الإنترنت، مما يجعل أجهزة البث والأجهزة الأخرى قابلة للعرض ويمكن الوصول إليها من أي مكان على الإنترنت.
وأشار الباحثون إلى أنه ينبغي على المستخدمين تعطيل UPnP لحل المشكلة، وقالت "جوجل" إنها تلقت تقارير من المستخدمين الذين تم استغلال أجهزة البث الخاصة بهم وتم تشغيل مقاطع فيديو غير مصرح بها على أجهزة التلفزيون لديهم عبر جهاز البث. وأوضحت "جوجل" أن هذه الثغرة ليست مشكلة مع جهاز البث، بل نتيجة للإعدادات الخاطئة لجهاز التوجيه "الراوتر" الذي يجعل الأجهزة الذكية، بما في ذلك "كروم كاست"، قابلة للوصول بشكل عام.
وكانت شركات أمن المعلومات قد عثرت في عام 2014 على الثغرة التي تسمح بالوصول لأجهزة البث بعد فترة قصيرة من ظهور الجهاز، حيث وجدت أن الثغرة قادرة على فصل جهاز كروم كاست من الشبكة اللاسلكية الموصول بها، فيما اكتشفت شركة الأمن السيبراني Pen Test Partners أن جهاز كروم كاست كان ولا يزال عرضة لهجمات بعد ذلك بعامين من إطلاقها ذلك.
ويذكر أنه يمكن استغلال الثغرة ذاتها في الوصول إلى الأجهزة الأخرى المتصلة بالشبكة الداخلية للضحية والأجهزة المنزلية الذكية، كما أن المخترقين قاموا في وقت سابق باستغلال ثغرات أخرى للسيطرة على ما يقرب من 50 ألف طابعة في جميع أنحاء العالم لطبع منشورات تحث الناس على الاشتراك في قناتهم على "اليوتيوب"، حيث تم إرسال الرسائل إلى أشخاص عشوائيين موجودين في أماكن مختلفة، واستغل "الهاكر" الطابعات متعددة الوظائف المتطورة الموجودة في الشركات الكبيرة إلى جانب طابعات الإيصالات الصغيرة المحمولة في محطات الوقود والمطاعم.
