Google lopetti tietoturvapäivitykset lähes kaikilta Chromecasteilta – kotiverkossa pyörii nyt haavoittuvia HDMI-tikkuja
Googlen oma tuotedokumentaatio listaa viisi vanhempaa Chromecast-mallia, joiden tietoturvapäivitykset ovat päättyneet. Yhtiö sanoo päivityksen olleen virhe, mutta päivämääriä ei ole palautettu sivulle. Käytännön tilanne on yhä se, että miljoonat HDMI-tikut elävät kotiverkoissa ilman uusia paikkauksia.
Tiivistelma
Google poisti 22.5.2026 päivityslupauksen lähes kaikilta Chromecast-malleilta. Yhtiö on sittemmin kommentoinut muutoksen olleen virhe, mutta lifecycle-sivu kertoo yhä päivitysten päättyneen. Kyberturvallisuuskeskus muistuttaa, että päivittämättömät laitteet houkuttavat rikollisia.
Kuuden vuoden takainen HDMI-tikku saa nyt elää loppunsa ilman tietoturvapaikkauksia. Googlen tuotedokumentaatio listaa viisi vanhempaa Chromecast-mallia, joiden päivitystuki on päättynyt.
Listalla ovat ensimmäisen, toisen ja kolmannen sukupolven Chromecastit, Chromecast Audio ja Chromecast Ultra. Mukaan päätyi myös vuonna 2020 myyntiin tullut Chromecast with Google TV (4K), jonka tuki päättyi viime syyskuussa.
Muutoksen havaitsi suomalainen Mobiili.fi 22. toukokuuta. Vielä maaliskuussa kaikki viisi vanhempaa mallia näkyivät tuettuina. Sen jälkeen Google päivitti lifecycle-sivuaan ja kirjasi päivämäärät menneisyyteen.
Mitä päivitysten päättyminen tarkoittaa kotiverkossa
Laite toimii yhä. Striimaus, casting ja palvelinpään ominaisuudet pyörivät vielä normaalisti, vaikka Google ei enää julkaise uusia tietoturvapaikkauksia firmwareen tai Cast-käyttöjärjestelmään.
Sovellusyhteensopivuus murenee hiljalleen. Android Authorityn havaintojen mukaan osa palveluista kieltäytyy jo lähettämästä sisältöä ensimmäisen sukupolven Chromecasteille, ja muutkin sovellukset seurannevat perässä.
Riskin ydin on toinen. Kyberturvallisuuskeskus toistaa yleisohjeessaan saman varoituksen, joka koskee kaikkia päivityksensä menettäneitä kodin laitteita.
– Jokainen tietoturvapäivitysten päättymisen jälkeen löytyvä haavoittuvuus voi altistaa käyttöjärjestelmän hyväksikäytölle, kertoo Kyberturvallisuuskeskus.
Käytännössä haavoittuva HDMI-tikku voi päätyä osaksi bottiverkkoa tai toimia siltapisteenä, jonka kautta hyökkääjä etenee samaan Wi-Fi-verkkoon kytkettyihin tietokoneisiin ja puhelimiin. Kotiverkko on monelle suomalaiselle se yksi luotettu vyöhyke, jossa pankkiyhteydet ja työsähköpostit avataan ihan rutiinilla.
Yhden HDMI-portin takana voi olla koko taloutta koskettava ongelma. Ensimmäisen sukupolven Chromecast on ehtinyt elää ilman päivityksiä jo lähes kahdeksan vuotta.
Googlen oikaisu jäi puolitiehen
Yhtiö kommentoi muutosta amerikkalaiselle 9to5Googlelle pari päivää myöhemmin. Googlen edustaja sanoi, että tukisivun päivitys osoitti laitteet vanhentuneiksi virheellisesti ja että vanhemmat Chromecastit saavat jatkossakin kriittisiä tietoturvapäivityksiä lähitulevaisuudessa. Suullinen oikaisu jäi kuitenkin pelkäksi puheeksi. Tukisivulle ei tehty mitään muutoksia.
Tätä artikkelia kirjoitettaessa Googlen virallinen lifecycle-dokumentti listaa edelleen päivitysten päättymispäivät. Ensimmäisen sukupolven kohdalla lukee 31.7.2018.
Toisen sukupolven kohdalla 30.9.2020 ja Chromecast Audion kohdalla 29.9.2020. Chromecast Ultra päättyi marraskuussa 2021, kolmas sukupolvi lokakuussa 2023 ja Chromecast with Google TV (4K) syyskuussa 2025.
Vain HD-versio jatkaa tuettuna syyskuuhun 2027 asti.
Kumpaan lukijan pitäisi luottaa, viralliseen dokumenttiin vai amerikkalaiselle teknologiamedialle annettuun kommenttiin? Tietoturvan kannalta vastaus on yksiselitteinen. Dokumentaatio sitoo Googlea julkisesti. Suullinen lupaus "foreseeable future" -aikajänteestä on melko venyvä käsite, joka ei korjaa lifecycle-sivun varoitusta.
Onko sinun laitteesi listalla
Suomalaiset ostivat Chromecasteja Gigantilta, Powerista ja Verkkokauppa.comista massana vuosina 2015–2021. Mallin tunnistaa helpoimmin laitteen takana olevasta tuotekoodista tai Google Home -sovelluksen laitetiedoista. Jos hyllyssä on pyöreä Chromecast Audio, vanha musta tai keltainen HDMI-tikku tai mustasta muovista valettu Chromecast Ultra, päivitykset ovat ainakin dokumentaation mukaan jo loppuneet.
Google korvasi koko tuotelinjan Google TV Streamerillä elokuussa 2024. Sen jälkeen vanhojen Chromecastien myynti hiipui ja varastot tyhjenivät hiljalleen.
Moni suomalainen ehti silti hankkia laitteen muutamaa kuukautta ennen sen viimeistä ostopäivää. Käytettyjen tikkujen kauppa pyörii yhä kirpputorisivustoilla, joista löytyy halpoja Chromecasteja muutaman kympin hintaan.
Ostaja saa nyt mukana päivittämättömän laitteen, vaikka ilmoituksessa ei siitä erikseen mainittaisi.
Mitä tehdä
Korvaa laite, jos se on edellä mainituilla listoilla. Google TV Streamer, Apple TV ja Fire TV ovat luontevia vaihtoehtoja, jotka saavat säännöllisiä päivityksiä. Jos haluat pitää vanhan laitteen vielä käytössä, eristä se kotireitittimen vierasverkkoon tai erilliseen IoT-VLANiin niin, ettei se näe samaa lähiverkkoa tietokoneiden ja puhelimien kanssa.
Sulje reitittimen UPnP-asetus, joka saattaa avata Chromecastille ulospäin näkyviä portteja huomaamatta. Estä laitteelta tarpeettomat ulospäin lähtevät yhteydet, jos reitittimesi sallii sääntöjen luomisen.
Kun aika tulee, vie laite SER-keräykseen, ei sekajätteeseen. Kodinkone- ja elektroniikkamyymälöiden vastaanottopisteet ottavat vanhat tikut maksutta.
Kuntakohtaiset SER-pisteet löytyvät Kierrätys.info-palvelusta. Jos epäilet, että kotiverkkosi laite on vaarantunut, ilmoita havainnoista Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi.
Mobiili.fi:n havainnon jälkeen Google ei ole vielä korjannut tukisivua, vaikka mediakommentti on jo neljä vuorokautta vanha. Korjataanko sivu vai jätetäänkö päivämäärät paikalleen hiljaisena hautakivenä? Se jää nähtäväksi.