QR code per la pagina originale

Chromecast e Google Home svelano la posizione

Problema per la privacy: i device delle linee Home e Chromecast condividono la posizione degli utenti, Google annuncia l'arrivo di una patch correttiva.

,

L’esperto di sicurezza Craig Young di Tripwire ha scovato un comportamento anomalo e potenzialmente pericoloso per la privacy degli utenti legato al funzionamento dei dispositivi Google Home e Chromecast. In sintesi, questi permettono ai siti Web di raccogliere informazioni relative all’esatta posizione geografica degli utenti. Il gruppo di Mountain View ha già preso in carico la segnalazione ed è al lavoro per porvi rimedio.

Entro le prossime settimane arriverà un fix, sotto forma di aggiornamento software, così da impedire qualsiasi attività malevola. Il malfunzionamento è legato al metodo impiegato dai device per interagire con le reti wireless posizionate nelle vicinanze eseguendo senza alcun tipo di autenticazione azioni come l’assegnazione di un nuovo nome ai dispositivi oppure la configurazione di una rete WiFi. Una dinamica che mostra il fianco all’impiego di un software per il DNS rebinding, attraverso il quale è possibile ottenere informazioni sui network presenti nelle vicinanze dei device e di conseguenza sulla loro geolocalizzazione.

Conoscendo dove sono collocate le reti nei pressi di Google Home o Chromecast, il gestore di un sito è potenzialmente in grado di individuare l’esatta location in cui si trova l’utente mediante triangolazione, con uno scarto ridotto (la tolleranza è di pochi metri) e una precisione molto più elevata rispetto a quella fornita dall’analisi degli IP che si connettono alle pagine di un portale, un servizio o una piattaforma. La patch correttiva è attesa per la metà di luglio.

Quali sono i rischi concreti? Se nelle mani di un malintenzionato, informazioni di questo tipo potrebbero essere sfruttate ad esempio per mettere in atto campagne di phishing fortemente targettizzate oppure addirittura per estorcere denaro incutendo timore nella potenziale vittima comunicandole l’indirizzo esatto dell’abitazione. Una lezione da imparare non solo per Google, ma per tutti gli attori del sempre più vivace ambito legato alle smart home e alla Internet of Thing, dove comodità e feature si accompagnano purtroppo spesso ad alcune latenti vulnerabilità.

Fonte: Krebs on Security • Via: The Verge