Sicherheitsforscher Craig Young von Tripwire hat Schwachstellen in Googles smartem Lautsprecher Home und in dem Streamingstick Chromecast gefunden, die es Angreifern ermöglicht, den exakten Standort der Geräte zu ermitteln. „Ich war tatsächlich in der Lage, die aus den Geräten extrahierten Daten zu verwenden, um ihren physischen Standort mit erstaunlicher Genauigkeit zu bestimmen“, sagte Young in einem Blogbeitrag, den er mit „Google’s Newest Feature: Find My Home“ betitelt hat.
Young fand heraus, dass er den Webbrowser auf einem Computer dazu benutzen kann, um einen Chromecast oder Google Home Smart Speaker zu erreichen, der mit dem gleichen Router verbunden ist. In seinem Test konnte er Informationen über seinen eigenen Standort aus seinem Chromecast gewinnen.
Ohne Interaktion eines Nutzers funktioniert der Angriff allerdings nicht. Zuerst richtete Young eine Website ein, die eine bösartige Software enthält. Dann öffnete er die Website auf seinem eigenen Computer. Dadurch wurde sein Hacking-Programm aktiv, das sich umsah und feststellte, dass sein Chromecast auch mit dem gleichen Router wie sein Computer verbunden war. Schließlich schickte die Website eine Anfrage an den Chromecast, der die Standortdaten zurückschickte. Der Angriff funktioniert unabhängig vom verwendeten Betriebssystem und Browser.
Obwohl in den verwendeten Geräten kein GPS-Emfänger integriert ist, weiß Google, wo sie sich befinden, weil es detaillierte Informationen über den Standort von Web-Routern auf der ganzen Welt sammelt.
„Die Implikationen davon sind recht weit gefasst, einschließlich der Möglichkeit effektiverer Erpressungsversuchee“, sagte Young. „Mit den Standortdaten könnten Drohungen, kompromittierende Fotos freizugeben oder ein Geheimnis für Freunde und Familie zu enthüllen, mehr Nachdruck verliehen werden und so die Erfolgschancen für Angreifer erhöhen.“
Als Young im Mai zum ersten Mal Kontakt zu Google aufnahm, antwortete das Unternehmen, indem es seinen Fehlerbericht mit dem Status kennzeichnete: Won’t Fix (Intended Behavior). Aber nachdem Google von KrebsOnSecurity kontaktiert wurde, änderte der Internetkonzern seine Meinung und sagte, es plane, ein Update Mitte Juli herauszubringen, das die beschriebenen Sicherheitsmängel beseitige.
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…