Google naprawi exploit, który umożliwił Home i Chromecastowi ujawnienie Twojej lokalizacji
Google wyda poprawkę dla swojego Google Home i Chromecasta, aby usunąć exploit, który może pozwolić złośliwym podmiotom na wykorzystanie twojego inteligentnego urządzenia domowego w celu uzyskania dokładnych informacji.
Exploit został odkryty przez Tripwire w aplikacji Google Home. Aplikacja służy do konfigurowania zarówno urządzeń Home, jak i Chromecast. W większości aplikacja komunikuje się z chmurą Google, aby wykonywać działania. Istnieją jednak pewne działania, które aplikacja Home wykonuje w sieci lokalnej z niezabezpieczonym serwerem HTTP.
Przeczytaj to: Najlepsze urządzenia z Asystentem Google
Kiedy więc zmieniasz nazwę Chromecasta lub urządzenia Home, a nawet łączysz je z Wi-Fi, aplikacja Home używa niezaszyfrowanej metody, którą można łatwo przechwycić. W rzeczywistości Craig Young z Tripwire zrobił dokładnie to. Był w stanie przejąć ekran połączenia w aplikacji Home i użyć go do wyodrębnienia danych o lokalizacji ze swoich urządzeń, które identyfikowały jego dom w promieniu 10 metrów.
Jak to jest możliwe? Wykorzystuje interfejs API lokalizacji HTML 5, który analizuje siłę sygnału w okolicznych punktach Wi-Fi, aby triangulować pozycję urządzenia. W rzeczywistości zebranie danych i zlokalizowanie własnego domu zajęło Youngowi tylko minutę.
Young ostrzega, że ten exploit może zostać wykorzystany w oszustwach phishingowych w celu ewentualnego szantażu lub groźby wymuszenia. Typowe oszustwa telefoniczne, takie jak podszywanie się pod IRS lub FBI, mogą wykorzystać te informacje, aby zwiększyć wiarygodność swoich gróźb. Podczas gdy metodą, której użył Young, było ponowne wiązanie DNS, które zasadniczo przejmuje kontrolę nad przeglądarką, ostrzega, że może to być również wykorzystywane przez rozszerzenia przeglądarki i aplikacje mobilne w tle.
Ostrzega również, że ten exploit nie ogranicza się tylko do urządzeń Google. Przez lata kontrolowania inteligentnych urządzeń widział, jak ten problem pojawiał się już kilka razy w innych urządzeniach, takich jak inteligentne telewizory. Rozwiązanie Google prawdopodobnie doda warstwę bezpieczeństwa do serwera HTTP, jednocześnie prosząc o pewnego rodzaju uwierzytelnienie, zanim będzie można zmienić nazwę urządzenia lub połączyć się z Wi-Fi.