Categories: Sicherheit

Find my Home: Google Home und Chromecast verraten Standortdaten

Sicherheitsforscher Craig Young von Tripwire hat Schwachstellen in Googles smartem Lautsprecher Home und in dem Streamingstick Chromecast gefunden, die es Angreifern ermöglicht, den exakten Standort der Geräte zu ermitteln. “Ich war tatsächlich in der Lage, die aus den Geräten extrahierten Daten zu verwenden, um ihren physischen Standort mit erstaunlicher Genauigkeit zu bestimmen”, sagte Young in einem Blogbeitrag, den er mit “Google’s Newest Feature: Find My Home” betitelt hat.

Angreifer können Google Home und Chromecast nutzen, um an die Standortdaten des Geräts zu gelangen (Bild: Google)

Young fand heraus, dass er den Webbrowser auf einem Computer dazu benutzen kann, um einen Chromecast oder Google Home Smart Speaker zu erreichen, der mit dem gleichen Router verbunden ist. In seinem Test konnte er Informationen über seinen eigenen Standort aus seinem Chromecast gewinnen.

Ohne Interaktion eines Nutzers funktioniert der Angriff allerdings nicht. Zuerst richtete Young eine Website ein, die eine bösartige Software enthält. Dann öffnete er die Website auf seinem eigenen Computer. Dadurch wurde sein Hacking-Programm aktiv, das sich umsah und feststellte, dass sein Chromecast auch mit dem gleichen Router wie sein Computer verbunden war. Schließlich schickte die Website eine Anfrage an den Chromecast, der die Standortdaten zurückschickte. Der Angriff funktioniert unabhängig vom verwendeten Betriebssystem und Browser.

Obwohl in den verwendeten Geräten kein GPS-Emfänger integriert ist, weiß Google, wo sie sich befinden, weil es detaillierte Informationen über den Standort von Web-Routern auf der ganzen Welt sammelt.

Potentielle Gefährdung

“Die Implikationen davon sind recht weit gefasst, einschließlich der Möglichkeit effektiverer Erpressungsversuchee”, sagte Young. “Mit den Standortdaten könnten Drohungen, kompromittierende Fotos freizugeben oder ein Geheimnis für Freunde und Familie zu enthüllen, mehr Nachdruck verliehen werden und so die Erfolgschancen für Angreifer erhöhen.”

Als Young im Mai zum ersten Mal Kontakt zu Google aufnahm, antwortete das Unternehmen, indem es seinen Fehlerbericht mit dem Status kennzeichnete: Won’t Fix (Intended Behavior). Aber nachdem Google von KrebsOnSecurity kontaktiert wurde, änderte der Internetkonzern seine Meinung und sagte, es plane, ein Update Mitte Juli herauszubringen, das die beschriebenen Sicherheitsmängel beseitige.

Kai Schmerer

Kai Schmerer ist Redaktionsdirektor bei NetMediaEurope in Deutschland. Er begann 2000 als Mitglied der Redaktion bei der silicon.de-Schwesterpublikation ZDNet und ist seit 2008 deren Chefredakteur.

Recent Posts

Worauf es bei der Banken-IT besonders ankommt

Finanzinstitute unterliegen strengen Auflagen, wenn es um die Digitalisierung geht. Doch der Finanzbereich kommt an…

41 Minuten ago

Patentstreit zwischen Apple und Ericsson eskaliert

Apple reagiert auf Ericssons Klagen mit einer eigenen ITC-Beschwerde. Das Unternehmen aus Cupertino bekundet aber…

3 Tagen ago

Google fordert sichere Rahmenbedingungen für Datenaustausch zwischen USA und EU

Googles Chief Legal Officer kritisiert in einem Blogeintrag die Datenschutzgrundverordnung. Auslöser ist eine Entscheidung aus…

3 Tagen ago

Samsung stellt am 8. Februar Galaxy S 22 vor

Ein Teaser-Video bestätigt Gerüchte, wonach Samsung die Note-Serie mit der Galaxy-S-Serie zusammenlegt. Samsung verspricht zudem…

3 Tagen ago

ISG-Studie: Intelligente Prozessautomatisierung in Deutschland

Die Nachfrage nach Automatisierungslösungen und -dienstleistungen, die unternehmensübergreifende Use Cases ermöglichen, steigt.

3 Tagen ago

NetApp-Umfrage: Die Zukunft ist hybrid

Für die Kundenumfrage hat NetApp weltweit 79 große und mittelständische Unternehmen aus verschiedenen Branchen befragt. So wollen…

4 Tagen ago