Veiligheidslek toont fysieke locatie van Google Home en Chromecast

Veiligheidslek toont fysieke locatie van Google Home en Chromecast

Ik weet waar je woont

Onderzoeker Craig Young van Tripwire heeft ontdekt (dat doen ze nu eenmaal) dat er een potentieel ernstige fout zit in de software van de Chromecast en de Google Home. Het zou vrij eenvoudig mogelijk zijn om via deze twee apparaten de fysieke locatie te achterhalen.

Het probleem begint bij het feit dat Chromecast en Google Home geen authentificatie nodig hebben wanneer er een commando over een lokaal netwerk wordt gegeven. De aanvaller kan via een advertentie een link binnensmokkelen die via een techniek, die 'DNS-rebinding' heet, zich gedraagt als een lokale link waarvoor dus geen authenticatie nodig is. Met andere woorden, er wordt niet gecontroleerd wat de link of het commando doet en waar het vandaan komt. Hiermee wordt een lijst opgevraagd van alle beschikbare WiFi-netwerken en met de Google locatiedienst kan er dan vrij makkelijk en heel precies worden bepaald waar het apparaat staat.

Dat een onbevoegd persoon vrij gemakkelijk toegang kan krijgen tot een netwerk en daarna precies weet waar dat netwerk is is natuurlijk een serieus veiligheidsrisico.

Patch

Toen de onderzoeker de fout meldde aan Google werd het eerst niet in behandeling genomen. Bij een tweede poging zag men dat het hier om een potentieel gevaar gaat en werkt Google aan een oplossing voor het probleem. Er is nog geen bewijs gevonden dat deze techniek daadwerkelijk is gebruikt voor een aanval op een netwerk. Het is wel duidelijk dat dit soort zaken niet horen en snel opgelost moeten worden.

Bron: AndroidPolice

Lees meer over:
Google Home

Plaats reactie

666

0 reacties

Laad meer reacties

Je bekijkt nu de reacties waarvoor je een notificatie hebt ontvangen, wil je alle reacties bij dit artikel zien, klik dan op onderstaande knop.

Bekijk alle reacties