Google risolverà un exploit che consente a Home e Chromecast di rivelare la tua posizione
Google rilascerà una correzione per Google Home e Chromecast per affrontare un exploit che potrebbe consentire a malintenzionati di sfruttare il tuo dispositivo smart home per ottenere informazioni accurate.
L'exploit è stato scoperto da Tripwire all'interno dell'app Google Home. L'app viene utilizzata per configurare i dispositivi Home e Chromecast. Per la maggior parte, l'app comunica con il cloud di Google per completare le azioni. Tuttavia, ci sono alcune azioni che l'app Home esegue su una rete locale con un server HTTP non protetto.
Leggi questo: i migliori dispositivi Google Assistant
Pertanto, quando cambi il nome del dispositivo Chromecast o Home o addirittura li colleghi al Wi-Fi, l'app Home utilizza un metodo non crittografato che può essere facilmente dirottato. In effetti, Craig Young di Tripwire ha fatto esattamente questo. È stato in grado di dirottare la schermata di connessione nell'app Home e l'ha utilizzata per estrarre i dati sulla posizione dai suoi dispositivi che hanno identificato la sua casa entro 10 metri.
Com'è possibile? Sfrutta l'API di localizzazione di HTML 5, che analizza la potenza del segnale nei punti Wi-Fi circostanti per triangolare la posizione di un dispositivo. In effetti, a Young è bastato solo un minuto per estrarre i dati e localizzare la sua casa.
Young avverte che questo exploit potrebbe essere utilizzato in truffe di phishing per eventuali minacce di ricatto o estorsione. Le comuni truffe telefoniche, come fingere di essere l'IRS o l'FBI, potrebbero utilizzare queste informazioni per aggiungere un senso di credibilità alle loro minacce. Sebbene il metodo utilizzato da Young fosse il DNS rebinding, che essenzialmente dirotta un browser, avverte che potrebbe anche essere sfruttato dalle estensioni del browser e dalle app mobili in background.
Avverte inoltre che questo exploit non è limitato solo ai dispositivi di Google. Durante i suoi anni di controllo di dispositivi intelligenti, ha visto questo problema emergere diverse volte in altri dispositivi, come le smart TV. La soluzione di Google probabilmente aggiungerà un livello di sicurezza al server HTTP, richiedendo anche una sorta di autenticazione prima di poter cambiare il nome del dispositivo o connettersi al Wi-Fi.