Google Home & Chromecast läcker din position

Bildkälla: Pixabay / TheDigitalArtist

Google har identifierat en allvarlig sårbarhet i smarta högtalaren Home och mediaspelaren Chromecast. Båda kan avslöja din position för obehöriga – tacksamt nog har Google en lösning på gång.

  • Din position kan avslöjas ner till ett tiotal meter
  • Mycket precisare data än IP-lokalisering
  • Google ignorerade först problemet
  • Säkerhetssida skrev om nyheten – då ändrade Google sig

Sårbarheten hittades av Tripwire-forskaren Craig Young. Han snubblade på den av misstag under en lab-övning för att demonstrera hur webbsajter kan identifiera och ta kontrollen över skärmar och högtalare via lokala nätverk.

Det har visat sig att även om Home-appen – som kontrollerar både Google Home och Chromecast – kör de flesta kommandon via Googles molntjänst så sker en del körningar på en lokal HTTP-server.

Kommandon som att sätta enheters namn och inställningar för WiFi-ansökningar. Och det görs helt utan autentisering via den lokala servern. Via den vägen kan man luras att dela med sig av positioneringsdata utan att man vet om det.

  1. Du får en länk skickad till dig via e-post och du luras att klicka på den
  2. När sidan länken går till öppnas försöker sidan som laddas identifiera en Google Home eller Chromecast på ditt hemnätverk
  3. Hittas en sådan skickas en begäran om att hämta all information som rör kringliggande WiFi-nätverk
  4. Datan skickas till Googles geolokaliserings-tjänst
  5. Koordinater för positionen avslöjas för den som äger sajten som länken går till

Utmaningen för den som utför attacken är att mottagaren som berörs måste ha sidan som laddas öppen i åtminstone en minut. Det är ungefärliga tiden för Googles produkt att identifiera alla WiFi-nät i området och skicka informationen vidare.

Det här kan användas till en rad olika kriminella aktiviteter, som utpressning och liknande när kriminella får reda på exakt var personer befinner sig. Genom att korsköra platsdatan med annan internetaktivitet är det dessutom möjligt att i vissa fall ta reda på exakta namn.

Google kontaktades om problemet redan i maj, men då valde de att inte göra något åt saken.

Först när webbsajten KrebsonSecurity rapporterade om saken som företaget lovade att släppa en buggfix. Kring mitten på juli ska det släppas en buggfix som gör att positioneringsdata inte kan begäras på det sättet.

Källa TechSpot