Som digi.no omtalte tirsdag, er det mulig for uvedkommende få tilgang til enheter med Google Cast-støtte via nettleseren til en bruker som benytter en enhet i samme lokalnett som Cast-enheten.
Dette kan i ytterste fall brukes til å finne posisjonen til Cast-enheten med ganske stor nøyaktighet. Nå har det kommet mer informasjon hvordan dette kan gjøres. Det er dessuten klart at Google Cast-enheter som Chromecast og Home ikke er de eneste enhetene som er sårbare den angrepsformen som ble beskrevet.
Konseptbevis
I artikkelen på tirsdag siterte digi.no sikkerhetsforskeren Craig Young hos Tripwire. Men det har senere vist seg at den samme angrepsvektoren, som blant annet tar i bruk teknikken «DNS rebinding», ble oppdaget av amerikanske Brannon Dorsey enda tidligere.
I ettertid har Dorsey kommet med en artikkel hvor han går noe mer i detalj enn det Young gjorde. Blant annet har han publisert et konseptbevis, som leter opp berørte enheter i brukerens lokalnett. Og som vi kommer tilbake til, dreier det seg ikke bare om enheter med Cast-støtte.
Konseptbevis ser ut til å være ganske ressurskrevende. Vi opplever i alle fall at nettleseren ikke greier å laste andre websider mens konseptbeviset kjøres, fordi det ikke er noen tilgjengelig socket.
Programmeringsgrensesnitt
Young beskrev ikke nøyaktig hvordan angriperen greier å finne posisjonen til Cast-enhetene, bortsett fra at det dreide seg om triangulering av signalene fra wifi-soner i nærheten av enheten. En fungerende løsning på dette vises i denne videoen.
Nøyaktig hvordan den fungerer, er ikke oppgitt. Men noe av det som lenge har vært kjent, er hvordan man kan få Cast-enhetene til å liste wifi-sonene som finnes i nærheten.
Det er nemlig slik at Cast-enhetene tilbyr et i utgangspunktet ikke-dokumentert REST API via nettverksporten 8008. Dette kan utnyttes på flere måter, for eksempel via en nettleser.
Alt som skal til, er å besøke de aktuelle nettadressene fra en enhet som er i samme lokalnett som Cast-enheten. I tillegg må en vite IP-adressen til Cast-enheten. IP-adressen er blant annet oppgitt den tilknyttede Home-appen.
Selv om API-et ikke er offentlig dokumentert fra Googles side, har deler av det vært kjent ganske lenge. En oversikt over noe av funksjonaliteten ble publisert i 2013, og en nyere og mer omfattende oversikt for Google Home finnes her.
Se wifi-sonene
Med nettadressen nedenfor får man for eksempel listet alle wifi-sonene i nærheten av Cast-enheten.
http://<IP-adressen til Cast-enheten>:8008/setup/scan_results
Med listen over wifi-soner kan man ifølge Dorsey bruke tjenester som Wigle.net til å finne ut hvor disse sonene hører hjemme. Men det forutsetter at sonene i det aktuelle området har blitt registrert relativt nylig. Det er langt fra alltid tilfellet.
Saken fortsetter under bildet
Ikke bare Cast-enheter
Dorsey skriver i artikkelen at enheter med Google Cast-støtte på ingen måte er de eneste som kan utnyttes ved hjelp av «DNS rebinding»-angrep. Han har funnet tilsvarende svakheter ved enheter som Sonos WiFi-høyttalere, produktene Radio Thermostat CT50 og CT80, samt Roku TV.
Roku skal være i ferd med å rulle ut oppdateringer som fjerner disse svakhetene fra enhetene. Google og Sono ventes å gjøre det samme i juli.
Også bredbåndsrutere
I tillegg til de nevnte enhetene, kan mange bredbåndsrutere være sårbare for slike angrep, i alle fall dersom brukeren ikke har endret standardpassordet, eller dersom ruteren kjører en UPnP-server.
Begge deler er ganske vanlig.
Dorsey beskriver i artikkelen hvordan både utviklere av webløsninger og forbrukere kan sikre seg mot «DNS rebinding»-angrep.
Blant annet anbefaler han OpenDNS Home, en gratis DNS-tjeneste fra Cisco for forbrukere, som kan settes opp til å blokkere DNS-responser som inneholder private IP-adresser.
Leste du denne? Cloudflare lanserer DNS-tjeneste som skal være verdens raskeste
