El caso de una falla en Chromecast se demostró en la conferencia de Black Hat security del año pasado. A menudo, los descibrimientos se arreglan en un período relativamente corto de tiempo después de que termine la conferencia, pero no siempre.
El caso en cuestión es una vulnerabilidad de seguridad Google Chromecast demostrado públicamente en el evento Black Hat security EE.UU. el año pasado . Chromecast es dispositivo de streaming de medios de comunicación populares de Google. Dan Petro, investigador de seguridad en Bishop Fox, demostró como Chromecast se podía hackear y una herramienta llamada Ricmote. Ahora, un año después, la vulnerabilidad de Chromecast permanece sin parchear y es probable que lo siga siendo por una variedad de razones.
Con su Chromecast Hack, Petro demostró públicamente (ver el eWEEK vídeo aquí ) cómo un pequeño ordenador podría abusar de la funcionalidad de Chromecast y enviar un vídeo arbitrariamente a un usuario de Chromecast. Como parte de la toma de posesión de Chromecast.
En una entrevista con Petro en Black Hat 2015, le dijo a eWEEK que él sentía que no es probable que Google vaya a solucionar la vulnerabilidad en absoluto. Petro dijo que no es una gran manera de arreglar el defecto sin afectar la usabilidad de una manera que sería inaceptable para la forma en que Google quiere que Chromecast funcione.
«Es parte del diseño que Google hizo y que Chromecast va a ser indefinidamente en el futuro», dijo.
La forma en que la configuración funciona pretende hacer más fácil para los usuarios obtener rápidamente Chromecast, que es donde la vulnerabilidad Ricmote entra en juego. Un atacante tiene que acceder a la transmisión inicial SSID de Chromecast para ejecutar el ataque. Si Google cambió su configuración para no permitir la transmisión inicial SSID, sin duda sería más difícil para los usuarios configurar su Chromecast.
Así, mientras que la cuestión es que Ricmote es una vulnerabilidad que puede ser explotada, más que una molestia es un problema que podría dejar a los propietarios de Chromecast expuestos a un riesgo real.
La simple verdad es que no todos los errores o vulnerabilidad es algo que realmente importa, incluso si un atacante es capaz de explotarlo. En el caso de Chromecast, la inacción de Google muestra que no está realmente preocupado por el riesgo real a los usuarios. A pesar de la demostración pública en Black Hat de la vulnerabilidad, no vale la pena la molestia de hacer un cambio importante en la usabilidad de Chromecast.