Google arreglará un exploit que permite que Home y Chromecast filtren tu ubicación
Google publicará una solución para su Google Home y Chromecast para abordar un exploit que podría permitir que actores maliciosos exploten su dispositivo doméstico inteligente para obtener su información precisa.
El exploit fue descubierto por Tripwire dentro de la aplicación Google Home. La aplicación se utiliza para configurar dispositivos domésticos y Chromecast. En su mayor parte, la aplicación se comunica con la nube de Google para completar acciones. Sin embargo, hay algunas acciones que la aplicación Home realiza en una red local con un servidor HTTP no seguro.
Lee esto: Los mejores dispositivos con el Asistente de Google
Entonces, cuando cambia su Chromecast o el nombre del dispositivo de Home, o incluso los conecta a Wi-Fi, la aplicación Home está utilizando un método sin cifrar que puede ser secuestrado fácilmente. De hecho, Craig Young de Tripwire hizo exactamente eso. Pudo secuestrar la pantalla de conexión en la aplicación Home y la usó para extraer datos de ubicación de sus dispositivos que identificaron su casa dentro de los 10 metros.
¿Cómo es esto posible? Aprovecha la API de ubicación de HTML 5, que analiza la intensidad de la señal en los puntos Wi-Fi circundantes para triangular la posición de un dispositivo. De hecho, Young solo tardó un minuto en obtener los datos y ubicar su propia casa.
Young advierte que este exploit podría usarse en estafas de phishing para eventuales amenazas de chantaje o extorsión. Las estafas telefónicas comunes, como hacerse pasar por el IRS o el FBI, podrían usar esta información para agregar un sentido de credibilidad a sus amenazas. Si bien el método que usó Young fue el reenlace de DNS, que esencialmente secuestra un navegador, advierte que también podría ser explotado por extensiones de navegador y aplicaciones móviles en segundo plano.
También advierte que este exploit no se limita solo a los dispositivos de Google. A lo largo de sus años de auditoría de dispositivos inteligentes, ha visto surgir este problema varias veces antes en otros dispositivos, como televisores inteligentes. La solución de Google probablemente agregará una capa de seguridad al servidor HTTP y también solicitará algún tipo de autenticación antes de poder cambiar el nombre del dispositivo o conectarse a Wi-Fi.