Google jobber med en oppdatering for å fikse Chromecast og Google Home-feil som avslører brukerens plassering
2 min. lese
Publisert på
Les vår avsløringsside for å finne ut hvordan du kan hjelpe MSPoweruser opprettholde redaksjonen Les mer
Google jobber med å gi ut en oppdatering for en feil som avslører brukerens plassering. Problemet ble først oppdaget av forsker Craig Young som jobber i et sikkerhetsfirma Tripwire. Feilen påvirker Chromecast og Google Home.
Ifølge Young lar feilen et nettsted samle inn brukerens nøyaktige plasseringsdata ved å utnytte et smutthull i Googles systemer for å krysssjekke en liste over nærliggende trådløse nettverk med Googles nøyaktige geolokaliseringsoppslagstjenester.
Jeg har kun testet dette i tre miljøer så langt, men i hvert tilfelle tilsvarer plasseringen riktig gateadresse. Den Wi-Fi-baserte geolokaliseringen fungerer ved å triangulere en posisjon basert på signalstyrker til Wi-Fi-tilgangspunkter med kjente plasseringer basert på rapportering fra folks telefoner.
– Craig Young
Enheter som Chromecast og Google Home krever vanligvis ikke autentisering fra tredjeparter for å motta data på lokale nettverk, dårlige aktører kan utnytte de sjenerøse tillatelsene til å samle inn sensitive data.
Det er vanlig for nettsteder å holde oversikt over den numeriske Internett-protokollen (IP)-adressen til alle besøkende, og disse adressene kan brukes i kombinasjon med online geolokaliseringsverktøy for å samle informasjon om hver besøkendes hjemby eller region. Men denne typen stedsinformasjon er ofte ganske upresis. I mange tilfeller gir IP-geolokalisering kun en generell idé om hvor IP-adressen kan være basert geografisk.
Dette er vanligvis ikke tilfellet med Googles geolokaliseringsdata, som inkluderer omfattende kart over trådløse nettverksnavn rundt om i verden, som kobler hvert enkelt Wi-Fi-nettverk til en tilsvarende fysisk plassering. Bevæpnet med disse dataene kan Google svært ofte bestemme en brukers plassering innen noen få meter (spesielt i tettbefolkede områder), ved å triangulere brukeren mellom flere kartlagte Wi-Fi-tilgangspunkter i nærheten. [Sidenotat: Alle som ønsker å se dette i aksjon trenger bare å slå av posisjonsdata og fjerne SIM-kortet fra en smarttelefon og se hvor godt navigasjonsapper som Googles Waze fortsatt kan finne ut hvor du er].
– Brian Krebs
Krebs har allerede kontaktet Google som igjen har sagt ja til å fikse problemet. Selskapet sikter mot midten av juli for utgivelsen av oppdateringen.
kilde: Krebs on Security; via: Randen