Google Home und Chromecast: Sicherheitslücke kann Standort verraten

Johann Philipp

Hat mein Nachbar einen smarten Lautsprecher? Über eine Website lässt sich das innerhalb von einer Minute herausfinden. Der Google Home und der TV-Stick Chromecast haben eine Sicherheitslücke, die den Standort der Geräte verraten. Ganz so einfach ist es dann aber doch nicht.

Google Home und Chromecast: Sicherheitslücke kann Standort verraten
Bildquelle: GIGA.

Google Home und Chromecast: Website verrät Standort

Smart-Home-Geräte wie der Google Home sind beliebt und stehen in vielen Wohnungen. Über eine manipulierte Webseite können Angreifer herausfinden, wo genau sich das Gerät befindet. Dem Sicherheitsforscher Craig Young ist die Sicherheitslücke aufgefallen. Voraussetzung ist, das sich ein Computer und der Google Home oder Chromecast im selben WLAN-Netzwerk befinden.

So läuft der Angriff ab: Der Nutzer wird auf eine manipulierte Website geleitet – das kann ein unscheinbares Pop-up-Fenster mit Werbung sein. Auf dieser Seite läuft im Hintergrund ein Programm, dass im Heimnetzwerk nach Google-Geräten sucht. Ist eins gefunden, fordert es von ihm eine Liste aller verfügbaren WLAN-Netzwerke in der Umgebung an.

Welche Gefahren in öffentlichen WLAN-Netzwerken lauern, erfahrt ihr in unserer Bilderstrecke:

Bilderstrecke starten
15 Bilder
Diese 15 Gefahren lauern in öffentlichen WLAN-Netzen.

Weil die Anfrage über das lokale Netzwerk kommt, fragen die Google-Geräte nicht nach einer zusätzlichen Authentifizierung. Über den Google-Dienst Location Service kann man dann mit sehr hoher Genauigkeit die WLANs verorten. Eine Bedingung gibt es bei dem Angriff allerdings noch: Man muss mindestens eine Minute auf der manipulierten Seite bleiben. So lange dauert es, bis die Anfrage an den Google Home geschickt wird und wieder zurückkommt.

Wie der Angriff abläuft, seht ihr in diesem Video:

Sicherheitslücke bei Google Home und Chromecast: Google arbeitet an Update

Ob man Opfer der Attacke geworden ist, bekommt man nicht mit. Google wird erst Mitte Juli ein automatisches Update auf die Geräte spielen, um die Sicherheitslücke zu schließen. Bis dahin rät der Experte Smart-Home-Geräte nicht im selben WLAN wie PC und Smartphone einzurichten, sondern in einem Neuen.

Das Wissen um den exakten Standort eines Nutzers könnte für Kriminelle sehr nützlich sein, warnt Sicherheitsexperte Young. Angreifer könnten dadurch etwa glaubhafte Phishing-Mails an Nutzer verschicken oder sogar Erpressungsversuche starten.

Quelle: GoogleWatchBlog, Krebs on Secruity

Zu den Kommentaren

Kommentare zu dieser News

* Werbung