Google wird einen Exploit beheben, durch den Home und Chromecast Ihren Standort preisgeben konnten
Google wird einen Fix für Google Home und Chromecast herausgeben, um einen Exploit zu beheben, der es böswilligen Akteuren ermöglichen könnte, Ihr Smart-Home-Gerät auszunutzen, um Ihre genauen Informationen zu erhalten.
Der Exploit wurde von Tripwire in der Google Home App entdeckt. Die App wird verwendet, um sowohl Home- als auch Chromecast-Geräte zu konfigurieren. Zum größten Teil kommuniziert die App mit der Cloud von Google, um Aktionen abzuschließen. Es gibt jedoch einige Aktionen, die die Home-App in einem lokalen Netzwerk mit einem ungesicherten HTTP-Server ausführt.
Lesen Sie dies: Die besten Google Assistant-Geräte
Wenn Sie also den Gerätenamen Ihres Chromecast- oder Home-Geräts ändern oder es sogar mit Wi-Fi verbinden, verwendet die Home-App eine unverschlüsselte Methode, die leicht gekapert werden kann. Tatsächlich hat Craig Young von Tripwire genau das getan. Er konnte den Verbindungsbildschirm in der Home-App kapern und damit Standortdaten von seinen Geräten extrahieren, die sein Zuhause innerhalb von 10 Metern identifizierten.
Wie ist das möglich? Es nutzt die Standort-API von HTML 5, die Signalstärken in umliegenden Wi-Fi-Spots analysiert, um die Position eines Geräts zu triangulieren. Tatsächlich brauchte Young nur eine Minute, um die Daten abzurufen und sein eigenes Zuhause zu lokalisieren.
Young warnt davor, dass dieser Exploit in Phishing-Betrug für eventuelle Erpressungs- oder Erpressungsdrohungen verwendet werden könnte. Gängige Telefonbetrügereien, wie die Vortäuschung, der IRS oder das FBI zu sein, könnten diese Informationen nutzen, um ihren Drohungen ein Gefühl der Glaubwürdigkeit zu verleihen. Während die von Young verwendete Methode das DNS-Rebinding war, das im Wesentlichen einen Browser entführt, warnt er davor, dass es auch von Browsererweiterungen und mobilen Apps im Hintergrund ausgenutzt werden könnte.
Er warnt auch davor, dass dieser Exploit nicht nur auf Googles Geräte beschränkt ist. Während seiner jahrelangen Prüfung von Smart Devices hat er dieses Problem schon mehrfach bei anderen Geräten wie Smart TVs gesehen. Die Lösung von Google wird dem HTTP-Server wahrscheinlich eine Sicherheitsebene hinzufügen und gleichzeitig nach einer Art Authentifizierung fragen, bevor der Gerätename geändert oder eine Verbindung zu Wi-Fi hergestellt werden kann.