Hackers spelen Pewdiepie-reclame af op Google-apparaten

Door een lek in Chromecast en Google Home konden hackers 'reclame' voor YouTuber Pewdiepie ongevraagd afspelen op tienduizenden tv's.

De hackers HackerGiraffe en j3ws3r hebben een script gemaakt dat een lek in Chromecast, Google Home en smart-tv's met Google Cast misbruikt. Als gebruikers bepaalde poorten op hun router open hebben staan, zijn hun apparaten door derden te benaderen. Dat is inmiddels bij ruim 72 duizend apparaten gebeurd, melden de hackers op hun website.

Chromecast en de andere apparaten controleren niet of de gebruiker of iemand anders video's opstart, waardoor de hackers ongevraagd een soort reclamevideo van YouTuber Pewdiepie konden afspelen op de tv's van slachtoffers. Ook kunnen hackers zaken als wifi- en bluetooth-namen van gebruikers zien, en is het onder meer mogelijk om de apparaten te resetten. Gevoelige gebruikersgegevens zijn echter niet via het lek te verkrijgen.

Video inmiddels door YouTube verwijderd

Het script van het hackersduo gaat automatisch te werk, en zoekt naar apparaten die via internet in kaart te brengen zijn. Slachtoffers kregen in eerste instantie een video te zien waarin werd opgeroepen om te abonneren op het kanaal van Pewdiepie. De omstreden YouTuber bespreekt games en heeft vooralsnog de meeste abonnees op YouTube. Een ander kanaal dreigt hem echter in te halen, waardoor zijn fans een campagne zijn gestart.

De video die die de hackers op getroffen apparaten afspeelden, is inmiddels van YouTube verwijderd. Google wist in juni 2018 al van de kwetsbaarheid, en beloofde die toen te dichten. De hackers geven getroffen gebruikers wel advies voor het tijdelijk dichten van het lek. Daarvoor moeten zij de UPnP-functie op hun router uitschakelen en de poorten 8008, 8009 en 8443 sluiten.