Google se encuentra trabajando en solucionar un fallo de sus dispositivos Google Home y Chromecast que permite a una web obtener datos preciosos sobre la ubicación de los usuarios, según ha confirmado la compañía a Genbeta. La vulnerabilidad fue difundida este martes por el investigador Craig Young y el periodista experto en seguridad Brian Krebs, quien también la confirmó.
Según las averiguaciones de Young, empleado de la firma de seguridad Tripwire, un atacante podría aprovechar una laguna en los sistemas de la compañía californiana para cotejar una lista de redes inalámbricas cercanas con los servicios de búsqueda de geolocalización de la propia Google.
Tras ello, llevando a cabo una triangulación, determinaría una ubicación con un margen de error de apenas unos metros. Similar a la que podría mostrarnos la señal de ubicación propia, el punto azul, que aparece en Google Maps.
En las redes wifi cercanas y la geolocalización de Google estaría la clave
El ataque funcionaría pidiendo a un Google Home o Chromecast un listado de las redes wifi cercanas para, luego, enviar esa lista a los servicios de localización de la propia compañía. Todo esto sería posible siempre y cuando la víctima acceda a un determinado enlace mientras esté conectado a la misma red wifi que los dispositivos de Google o la conexión con ellos sea mediante cable.
El contenido del ataque, que podría encontrarse tanto en anuncios maliciosos como incluso en un tuit según el investigador, sería capaz de triangular la ubicación de un usuario. La clave de todo está, explica Young, en la geolocalización mediante redes wifi, similar a la que hace Android con antenas de telefonía móvil. Según su parecer, conocer este dato podría ayudar a un atacante a llevar a cabo campañas de extorsión o chantaje más efectivas.
El investigador, además de aportar como prueba el vídeo en el que se lleva a cabo el ataque, explica que quien quiera comprobar cómo funciona la localización de Google mediante redes wifi puede apagar los datos de localización de su terminal, quitar la tarjeta SIM y ver cómo aplicaciones del estilo de Waze los localizan.
No obstante, este no es un problema que ataña a Google solamente, sino que es compartido con el resto de compañías responsables de dispositivos que forman parte del internet de las cosas. Así lo cree Young.
«Estos problemas no son específicos de los dispositivos de Google. A lo largo de los años que he estado auditando dispositivos integrados, no es la primera vez que veo un dispositivo que proporciona datos de mediciones wifi u otros detalles únicos del dispositivo, como números de serie. Los televisores inteligentes, por ejemplo, suelen identificarse con un identificador de pantalla único como parte del protocolo DIAL utilizado para admitir funciones similares a las de Cast».
Sobre el fallo en particular de los dispositivos de Google, fuentes cercanas al caso señalan que no existen razones para creer que se esté ante un ataque que haya resultado exitoso. La acción como tal no proporciona automáticamente la ubicación, es necesario ese tratamiento de datos posterior mediante la triangulación, y además es necesaria una permanencia de alrededor de un minuto en el contenido malicioso que lleva a cabo la maniobra.
Los parches que impidan este método se esperan para dentro de unas semanas.
En Genbeta | Internet de las Cosas, el internet de los «hackers»
También te recomendamos
Bolsillo, la belleza y la simplicidad materializadas en bolsos hechos a mano
Los clientes uTorrent están infestados de fallos de seguridad bastante graves
–
La noticia
Google trabaja en una solución para el fallo que revela la ubicación de los usuarios en Google Home y Chromecast
fue publicada originalmente en
Genbeta
por
Toni Castillo
.