Dispozitivele Google Home și Chromecast au un defect de design al firmware-ului, care expune locația precisă a utilizatorilor potențialilor atacatori.
În timpul unui experiment de laborator, Craig Young, un cercetător care lucrează pentru firma de securitate Tripwire, în timpul antrenamentului său Black Hat, a descoperit că aplicația Home, ceea ce folosesc utilizatorii de Google Home și Chromecast pentru a își configura dispozitivele, nu își rula sarcinile numai prin intermediul infrastructurii Google Cloud, dar și prin intermediul unui server HTTP local.
Problema principală este că aceste comenzi nu au nicio formă de autentificare, o problemă care este comună cu cele mai multe dispozitive de tip Internet of Things (IoT), dar pe care dispozitivele Google nu ar trebui să le aibă. Folosind această defecțiune de design în produsele Google, Young a reușit nu numai să deturneze ecranul atașat Chromecast-ului, ci și să-i identifice locația fizică cu o precizie de 10m, care este aproape la fel de precisă ca și locația GPS.
Aparent, utilizarea de către Google a API-ului de locație al lui HTML5, care poate aduna informații despre locație din apropierea altor hotspot-uri Wi-Fi, este ceea ce i-a permis lui Young să extragă aceste informații. Pornind de la o adresă URL generică, Young a dezvoltat un exploit care a scanat subrețeaua locală în căutarea dispozitivelor Google. Ulterior, a putut să-și privească propria casă pe Google Maps.
Atunci când Young a luat pentru prima oară legătura cu Google în legătură cu acest defect de proiectare în firmware-ul companiei, Google a răspuns prin închiderea bug-ului cu mesajul: „Status: Will Not Fix (Intended Behavior)„. Young a remarcat în mesajul său că extensiilor de browser și aplicațiilor mobile le sunt, de obicei, permise să interogheze informațiile despre locație fără ca utilizatorul să fie notificat despre acest lucru. Acest tip de tehnică a fost utilizat de agenții de publicitate pentru a identifica cine sunt utilizatorii.
Dacă Google ar profita de aceeași defecțiune pentru a direcționa mai bine anunțurile către utilizatori, atunci aceasta ar explica de ce compania a fost la început reticentă în remedierea acestei erori. Totuși, după ce a fost contactat de jurnalistul de securitate cibernetică Brian Krebs, Google pare să-și fi schimbat părerea și a spus că a planificat lansarea unui patch pentru acest defect la jumătatea lunii iulie 2018.
Young crede că atacatorii ar putea să-i șantajeze sau să-i înșele pe oameni prin acest tip de exploatare, trimițându-le avertizări false din partea FBI-ului sau a fiscului sau chiar mesaje de aminințări de publicare a fotografiilor. În lipsa deconectării complete a acestor dispozitive de pe internet, Young a spus că există și alte câteva opțiuni pentru a minimiza riscul de atacuri.
Prima dintre acestea este segmentarea și izolarea rețelelor Wi-Fi, astfel încât, de exemplu, să aveți o rețea Wi-Fi pentru navigare în interes serviciu sau personal, și una pentru conectarea dispozitivelor IoT, cum ar fi televizoarele inteligente. O altă opțiune este să activați protecția DNS Rebind în router-ul vostru, o caracteristică care, de obicei, nu este activată în mod implicit.
Young a mai recomandat de asemenea ca toate dispozitivele care rulează în rețeaua locală să fie configurate ca și cum ar fi expuse Internetului, mai ales dacă datele pe care le transmit prin rețea nu sunt autentificate.
Difuzorul inteligent Google Home a fost depistat în trecut înregistrând în secret conversațiile utilizatorilor, când Google a lansat produsul în toamna trecută. Compania a remediat defectul imediat după ce a fost descoperit.
