Wie Craig Young von der IT-Sicherheitsfirma Tripwire jetzt herausfand,kann man an die Geräte im lokalen Netz HTTP-Befehle ohne jede Authentifizierung senden. Angreifer brauchen dazu nur die lokale IP-Adresse herausfinden, was sich sich mit ein paar Tricks machen lässt.
So gelang es Young zum Beispiel, von einer Internetseite aus ein Video auf dem Chromecast und auf einem daran angeschlossenen Fernseher laufen zu lassen. Auch auf die HTTP-Frage nach dem Standort beantworten Googles Tischspione bereitwillig und korrekt.
Als Young Google im Mai zum ersten Mal kontaktierte, antwortete das Unternehmen, indem es seinen Fehlerbericht mit dem Status „Won’t Fix (wird nicht repariert)“ kennzeichnete.
Nachdem Google dann auch von KrebsOnSecurity kontaktiert wurde, änderte der Internetkonzern plötzlich seine Meinung und sagte nun, es plane, mit einem Update Mitte Juli die beschriebenen Sicherheitsmängel zu beseitigen.