Sicherheitsforscher Craig Young von Tripwire hat Schwachstellen in Googles smartem Lautsprecher Home und in dem Streamingstick Chromecast gefunden, die es Angreifern ermöglicht, den exakten Standort der Geräte zu ermitteln. „Ich war tatsächlich in der Lage, die aus den Geräten extrahierten Daten zu verwenden, um ihren physischen Standort mit erstaunlicher Genauigkeit zu bestimmen“, sagte Young in einem Blogbeitrag, den er mit „Google’s Newest Feature: Find My Home“ betitelt hat.
Young fand heraus, dass er den Webbrowser auf einem Computer dazu benutzen kann, um einen Chromecast oder Google Home Smart Speaker zu erreichen, der mit dem gleichen Router verbunden ist. In seinem Test konnte er Informationen über seinen eigenen Standort aus seinem Chromecast gewinnen.
Ohne Interaktion eines Nutzers funktioniert der Angriff allerdings nicht. Zuerst richtete Young eine Website ein, die eine bösartige Software enthält. Dann öffnete er die Website auf seinem eigenen Computer. Dadurch wurde sein Hacking-Programm aktiv, das sich umsah und feststellte, dass sein Chromecast auch mit dem gleichen Router wie sein Computer verbunden war. Schließlich schickte die Website eine Anfrage an den Chromecast, der die Standortdaten zurückschickte. Der Angriff funktioniert unabhängig vom verwendeten Betriebssystem und Browser.
Obwohl in den verwendeten Geräten kein GPS-Emfänger integriert ist, weiß Google, wo sie sich befinden, weil es detaillierte Informationen über den Standort von Web-Routern auf der ganzen Welt sammelt.
Potentielle Gefährdung
„Die Implikationen davon sind recht weit gefasst, einschließlich der Möglichkeit effektiverer Erpressungsversuchee“, sagte Young. „Mit den Standortdaten könnten Drohungen, kompromittierende Fotos freizugeben oder ein Geheimnis für Freunde und Familie zu enthüllen, mehr Nachdruck verliehen werden und so die Erfolgschancen für Angreifer erhöhen.“
Als Young im Mai zum ersten Mal Kontakt zu Google aufnahm, antwortete das Unternehmen, indem es seinen Fehlerbericht mit dem Status kennzeichnete: Won’t Fix (Intended Behavior). Aber nachdem Google von KrebsOnSecurity kontaktiert wurde, änderte der Internetkonzern seine Meinung und sagte, es plane, ein Update Mitte Juli herauszubringen, das die beschriebenen Sicherheitsmängel beseitige.
Neueste Kommentare
2 Kommentare zu Find my Home: Google Home und Chromecast verraten Standortdaten
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Zitat:
„Als Young im Mai zum ersten Mal Kontakt zu Google aufnahm, antwortete das Unternehmen, indem es seinen Fehlerbericht mit dem Status kennzeichnete: Won’t Fix (Intended Behavior).“
->Wundert das irgendjemanden, dass für Google das Speichern und Auslesen von sehr genauen Standortdaten „intended behaviour“ ist?
Zitat2:
„Aber nachdem Google von KrebsOnSecurity kontaktiert wurde, änderte der Internetkonzern seine Meinung und sagte, es plane, ein Update Mitte Juli herauszubringen, das die beschriebenen Sicherheitsmängel beseitige.“
->Gemacht wird also erst etwas, wenn durch eine bekanntere Website negative Publicity droht. Die drehen ihre Bits auch nach dem Wind.
Anmerkung: Ausnutzbar wohl nur, wenn JavaScript im Browser für die entsprechende Site läuft.->Wieder ein Grund mehr, neben Spectre (und Meltdown), JavaScript auszuschalten oder mit sehr viel Bedacht einzusetzen.
Javascript abschalten, nur unternehmen die Betreiber von Webseiten alles mögliche, um eben dann die Seiten extrem unpraktisch und unansehnlich erscheinen zu lassen.
Klar: die Skripte ermöglichen erst die Monetarisierung des Users. Da schaut man lieber morgens nicht in den Spiegel, anstatt man dem User seine Privataphäre belässt.