Er zit een bug in Chromecast en de Google Home die je locatie potentieel op straat gooit. Google werkt aan een oplossing.

Advertentie

Een veiligheidsonderzoeker heeft een lek in Google Chromecast en Google Home ontdekt. Door een beperkt authenticatieproces is het vrij eenvoudig voor hackers om op afstand nauwkeurige locatiedata te ontfutselen aan de toestellen. Bekende veiligheidspecialist Brian Krebs – niet de ontdekker van het lek – maakte het nieuws openbaar.

Locatielek

Data stelen van de Chromecast of de Google Home is mogelijk door een verzoek naar een toestel te versturen om informatie vrij te geven over de dichstbijzijnde wifinetwerken, en die data vervolgens in te voeren op Googles geolocatie-services. Een verzoek kan verstuurd worden wanneer een hacker er in slaagt om een slachtoffer op een link te laten klikken. “De enige beperking is dat de link minstens een minuut open moet blijven staan voordat een aanvaller een locatie kan prikken,” aldus Craig Young, de veiligheidsonderzoeker die de bug opspoorde.

Het probleem is dat Chromecast en Home te weinig onderscheid maken tussen verdachte en betrouwbare verbindingen. Daar komt nog bij dat het om een Google-product gaat. Google houdt erg nauwkeurige locatiedata bij van de gebruikers van zijn producten, waardoor het “heel vaak de locatie van de gebruiker op een paar meter kan bepalen, in het bijzonder in dichtbevolkte gebieden”.

Opzettelijk gedrag

Bij de eerste melding van het lek hechtte Google niet al te veel belang aan de informatie en klasseerde het de bug als een gevolg van “intended behaviour“. Het feit dat Brian Krebs de informatie publiek zou maken, deed de zoekgigant het geweer van schouder veranderen. Het zou bezig zijn aan een patch voor het probleem. Google zal de update normaal midden juli uitrollen.