Chromecast, un bug ti mette Rick Astley sul televisore

Un piccolo gadget può prendere il controllo di ogni Google Chromecast e mostrare video indesiderati sul televisore di casa. Lo ha creato con 100 dollari l'hacker Dan Petro, che ha chiamato la propria invenzione "rickmote" e che la mostrerà il mese prossimo a una conferenza dedicata alla sicurezza IT.

Il "rickmote" è costituito da un Raspberry Pi, un touchscreen, un paio di schede wireless e poco più. C'è installata l'applicazione Aircrack, che sostanzialmente obbliga i dispositivi circostanti a sganciarsi dalla rete Wi-Fi a cui sono collegati - con il comando "Deauth".

Rickmote

Se c'è una Chromecast a portata, quindi, potremo usare il rickmote per farlo disconnettere dalla rete Wi-Fi a cui è collegata - diciamo quella di casa nostra. A questo punto il dispositivo prende il controllo della Chromecast sfruttando il suo funzionamento predefinito, vale a dire la rete Wi-Fi creata dalla chiavetta stessa.

L'attacco impiega una trentina di secondi, e a conclusione l'attaccante può sfruttare la nuova connessione per mostrare quel che vuole sul televisore della vittima - scegliendo tra YouTbe, Netflix o HBO Go. Ed ecco il perché del nome, che rimanda direttamente al fenomeno del "rickrolling": fino a non molto tempo fa infatti andava di mota spingere gli amici, per scherzo, a cliccare su un video di Rick Astley - una popstar degli anni '80.

Non è un problema particolarmente grave ma è senz'altro divertente; basta pensare di portarsi il rickmote in un complesso di condomini giusto per vedere che succede, e se qualcuno vuole provare a far da sé non c'è che da comprare un Raspberry Pi. Petro tuttavia ritiene che lo stesso bug usato per questo scherzo si potrebbe usare per rubare i dati di accesso alla rete Wi-Fi bersaglio, e questo in effetti rappresenta un rischio molto più serio.

Google tuttavia potrebbe non correggere mai il problema, perché da questo "difetto" dipende il funzionamento semplice della Chromecast - una caratteristica che per la stessa Google è determinante. Liberamente tradotto, Google ha risposto a Petro che "non è un bug, è una feature".