Find my Home: Google Home und Chromecast verraten Standortdaten

Die entdeckte Sicherheitslücke wollte Google zunächst nicht schließen. Erst nachdem sich Sicherheitsspezialist Brian Krebs eingeschaltet hatte, änderte der Internetkonzern seine Meinung.

Sicherheitsforscher Craig Young von Tripwire hat Schwachstellen in Googles smartem Lautsprecher Home und in dem Streamingstick Chromecast gefunden, die es Angreifern ermöglicht, den exakten Standort der Geräte zu ermitteln. „Ich war tatsächlich in der Lage, die aus den Geräten extrahierten Daten zu verwenden, um ihren physischen Standort mit erstaunlicher Genauigkeit zu bestimmen“, sagte Young in einem Blogbeitrag, den er mit „Google’s Newest Feature: Find My Home“ betitelt hat.

Google Home (Bild: Google)Angreifer können Google Home und Chromecast nutzen, um an die Standortdaten des Geräts zu gelangen (Bild: Google)

Young fand heraus, dass er den Webbrowser auf einem Computer dazu benutzen kann, um einen Chromecast oder Google Home Smart Speaker zu erreichen, der mit dem gleichen Router verbunden ist. In seinem Test konnte er Informationen über seinen eigenen Standort aus seinem Chromecast gewinnen.

Ohne Interaktion eines Nutzers funktioniert der Angriff allerdings nicht. Zuerst richtete Young eine Website ein, die eine bösartige Software enthält. Dann öffnete er die Website auf seinem eigenen Computer. Dadurch wurde sein Hacking-Programm aktiv, das sich umsah und feststellte, dass sein Chromecast auch mit dem gleichen Router wie sein Computer verbunden war. Schließlich schickte die Website eine Anfrage an den Chromecast, der die Standortdaten zurückschickte. Der Angriff funktioniert unabhängig vom verwendeten Betriebssystem und Browser.

Obwohl in den verwendeten Geräten kein GPS-Emfänger integriert ist, weiß Google, wo sie sich befinden, weil es detaillierte Informationen über den Standort von Web-Routern auf der ganzen Welt sammelt.

Potentielle Gefährdung

„Die Implikationen davon sind recht weit gefasst, einschließlich der Möglichkeit effektiverer Erpressungsversuchee“, sagte Young. „Mit den Standortdaten könnten Drohungen, kompromittierende Fotos freizugeben oder ein Geheimnis für Freunde und Familie zu enthüllen, mehr Nachdruck verliehen werden und so die Erfolgschancen für Angreifer erhöhen.“

Als Young im Mai zum ersten Mal Kontakt zu Google aufnahm, antwortete das Unternehmen, indem es seinen Fehlerbericht mit dem Status kennzeichnete: Won’t Fix (Intended Behavior). Aber nachdem Google von KrebsOnSecurity kontaktiert wurde, änderte der Internetkonzern seine Meinung und sagte, es plane, ein Update Mitte Juli herauszubringen, das die beschriebenen Sicherheitsmängel beseitige.

Themenseiten: Google, Smart Home

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Find my Home: Google Home und Chromecast verraten Standortdaten

Kommentar hinzufügen
  • Am 20. Juni 2018 um 14:13 von Gast

    Zitat:
    „Als Young im Mai zum ersten Mal Kontakt zu Google aufnahm, antwortete das Unternehmen, indem es seinen Fehlerbericht mit dem Status kennzeichnete: Won’t Fix (Intended Behavior).“
    ->Wundert das irgendjemanden, dass für Google das Speichern und Auslesen von sehr genauen Standortdaten „intended behaviour“ ist?
    Zitat2:
    „Aber nachdem Google von KrebsOnSecurity kontaktiert wurde, änderte der Internetkonzern seine Meinung und sagte, es plane, ein Update Mitte Juli herauszubringen, das die beschriebenen Sicherheitsmängel beseitige.“
    ->Gemacht wird also erst etwas, wenn durch eine bekanntere Website negative Publicity droht. Die drehen ihre Bits auch nach dem Wind.

    Anmerkung: Ausnutzbar wohl nur, wenn JavaScript im Browser für die entsprechende Site läuft.->Wieder ein Grund mehr, neben Spectre (und Meltdown), JavaScript auszuschalten oder mit sehr viel Bedacht einzusetzen.

    • Am 20. Juni 2018 um 18:05 von Ja, schlimm

      Javascript abschalten, nur unternehmen die Betreiber von Webseiten alles mögliche, um eben dann die Seiten extrem unpraktisch und unansehnlich erscheinen zu lassen.

      Klar: die Skripte ermöglichen erst die Monetarisierung des Users. Da schaut man lieber morgens nicht in den Spiegel, anstatt man dem User seine Privataphäre belässt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *