Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Das Unternehmensrisiko durch Googles Chromecast-End-of-Life
Joao Correia
Juni 22, 2023 - Technischer Evangelist
Google hat vor kurzem das Ende der Lebensdauer seiner Chromecast-Geräte der ersten Generationangekündigt. Dieser Schritt bedeutet das endgültige Aus für Updates, Sicherheits-Patches und technischen Support für diese Geräte. Die Chromecasts werden zwar weiterhin funktionieren, aber aufgrund der fehlenden Sicherheitsunterstützung fallen sie in die Kategorie der potenziellen Verbindlichkeiten, vor allem wenn man bedenkt, wie viele Menschen immer noch von zu Hause aus arbeiten.
Chromecast war mit 10 Millionen verkauften Geräten allein im Jahr 2014 das meistverkaufte Hardware-Angebot von Google und wurde immer wieder in Aktionärsgesprächen hervorgehoben. Seine Anziehungskraft liegt in seiner Einfachheit: keine Standardschnittstelle, nicht in der Lage, Apps auszuführen, und ohne eigenen Steuerungsmechanismus. Dieses Gerät diente lediglich als Medienempfänger für den Cast-Button in verschiedenen Apps wie YouTube.
Damit ist der ursprüngliche Chromecast-Technologiestapel nun praktisch veraltet. Die Geräte werden zwar weiterhin funktionieren, aber keine Sicherheitsupdates mehr erhalten.
Das Element der Arbeit von zu Hause aus
Ein erheblicher Prozentsatz der Beschäftigten arbeitet nach wie vor von zu Hause aus. Laut einer Stanford-Studie, die Anfang 2023 durchgeführt wurde , wurden in den USA 27 % der bezahlten Vollzeitarbeitstage von zu Hause aus geleistet. In Anbetracht der enormen Anzahl der verkauften Original-Chromecast-Geräte kann man davon ausgehen, dass viele dieser Fernarbeiter diese Geräte in ihren Heimnetzwerken haben.
Die Auswirkungen auf die Sicherheit
Vergangene Datenschutzverletzungen haben gezeigt, wie ungepatchte Systeme zu Hause Unternehmensnetzwerke gefährden können. Ein ernüchterndes Beispiel ist die massive Sicherheitslücke bei LastPass, die auf das Versäumnis eines Ingenieurs zurückzuführen ist, die Plex-Software auf seinem Heimcomputer zu aktualisieren.
Dieser Fehler ermöglichte es Angreifern, eine fast drei Jahre alte Schwachstelle in Plex auszunutzen (die zu diesem Zeitpunkt bereits in aktuellen Versionen von Plex gepatcht war), um Code auf dem Computer des Technikers auszuführen. Der LastPass-Mitarbeiter hatte seine Software nie aktualisiert, um den Patch zu aktivieren, was das Risiko veralteter Software verdeutlicht.
Die gleichen Risiken gelten für Chromecast-Geräte. Selbst wenn ein Arbeitgeber strenge Patching-Anforderungen für die Geräte durchsetzt, die mit den internen Systemen verbunden sind, stellt der Chromecast keine direkte Verbindung her. Stattdessen ist er ein potenzielles Risiko im Heimnetzwerk des Mitarbeiters. Er könnte als Sprungbrett für Angreifer dienen, um Zugriff auf andere Systeme im Heimnetzwerk und von dort aus auf angeschlossene Systeme im Unternehmensnetzwerk zu erhalten. Diese Art der seitlichen Bewegung innerhalb eines Netzwerks ist typischerweise in schlecht segmentierten Netzwerken mit IoT-Geräten zu beobachten. Es kann davon ausgegangen werden, dass nur eine verbleibende Anzahl von Heimnetzwerken über irgendeine Art von Segmentierung verfügt, die Mediendongles wie den Chromecast von anderen Systemen trennt.
Strategien zur Schadensbegrenzung
Die Abschwächung dieses Risikos ist aufgrund der indirekten Natur der Bedrohung eine Herausforderung. Eine Strategie kann darin bestehen, die Mitarbeiter zu ermutigen, auf neuere Geräte umzusteigen, die noch Sicherheitsupdates erhalten. Die Arbeitgeber könnten auch die Einführung robusterer Sicherheitsmaßnahmen für den Fernzugriff auf Unternehmensnetzwerke in Erwägung ziehen, um mögliche Verstöße zu verhindern. Ein guter Ansatzpunkt ist auch die Erhöhung der Anforderungen an die rechtzeitige Behebung bekannter Sicherheitslücken auf den Systemen, die das Unternehmen verwalten und durchsetzen kann, einschließlich der angeschlossenen Client-Geräte.
Nichtsdestotrotz erinnert das Auslaufen des ursprünglichen Chromecast daran, dass sich die Bedrohungslage im Bereich der Cybersicherheit ständig weiterentwickelt, insbesondere im Zusammenhang mit der Fernarbeit. Es unterstreicht die Notwendigkeit, dass sowohl Einzelpersonen als auch Organisationen wachsam bleiben und aktuelle Sicherheitsmaßnahmen für alle mit ihren Netzwerken verbundenen Geräte aufrechterhalten. Es ist auch eine weitere deutliche Erinnerung an die Bedeutung und Notwendigkeit einer angemessenen Unterstützung für alle laufenden Geräte in einem Netzwerk, unabhängig davon, wie wichtig sie auf den ersten Blick sind oder zu sein scheinen. Ihr Chromecast kann und wird Sie hacken, genau wie Ihr Toaster.
Letzte Worte
Die Ankündigung des Endes der Lebensdauer von Googles Chromecast-Gerät der ersten Generation verdeutlicht die potenziellen Sicherheitsrisiken, die mit veralteten Geräten im Zusammenhang mit der Fernarbeit verbunden sind. Die Geräte werden zwar weiterhin funktionieren, aber das Fehlen von Sicherheitsupdates macht sie anfällig für Angriffe, die sowohl für Einzelpersonen als auch für Unternehmen schwerwiegende Folgen haben können.
Die weite Verbreitung dieser Geräte in Heimnetzwerken, die für Fernarbeit genutzt werden, erhöht das Risiko, dass sich Angreifer durch seitliche Bewegungen Zugang zu Unternehmenssystemen verschaffen. Um diese Risiken zu mindern, ist es wichtig, die Mitarbeiter zu ermutigen, auf neuere Geräte aufzurüsten, robuste Sicherheitsmaßnahmen für den Fernzugriff zu implementieren und rechtzeitige Patches durchzusetzen.
Dies ist eine Erinnerung an die sich entwickelnde Cybersicherheitslandschaft und an die Notwendigkeit einer ständigen Wachsamkeit bei der Aufrechterhaltung aktueller Sicherheitsmaßnahmen für alle verbundenen Geräte. Das Auslaufen des Chromecast-Geräts unterstreicht die Bedeutung einer angemessenen Unterstützung für alle laufenden Geräte innerhalb eines Netzwerks, da selbst scheinbar unbedeutende Geräte zu potenziellen Hacking-Zielen werden können.
