Google Home & Chromecast: Sicherheitslücke verrät den Standort des Nutzers per Browser (Demovideo)

 

Glaubt man den Zahlen der Marktforscher, dann hat Google allein im vergangenen Jahr weit mehr als 10 Millionen Smart Speaker verkauft und hat in einigen Ländern bereits eine große Verbreitung erreichen können. Jetzt wurde eine vor einigen Wochen entdeckte Sicherheitslücke veröffentlicht, die es jedem Angreifer möglich macht, den genauen Wohnort des Nutzers herauszufinden – und das nur durch den Besuch eine Webseite.

Das Thema „Smart Home“ geht seit etwa zwei Jahren regelrecht durch die Decke und immer mehr Menschen verwenden einen Google Home oder einen Amazon Echo als Schaltzentrale. Dementsprechend ist die Angriffsfläche, wenn Sicherheitslücke in diesen Systemen entdeckt werden, die immerhin mehrere Mikrofone verbaut haben und potenziell rund um die Uhr aufzeichnen. Ganz so schlimm ist es bisher zwar noch nicht, aber eine jetzt entdeckte Lücke in den Google-Geräten lässt doch aufhorchen.

Über den Aufruf einer manipulierten Webseite ist es möglich, den nahezu exakten Standort des Nutzers herauszufinden und ihn somit ohne sein Wissen zu lokalisieren. Ausgerechnet die Google Home-Lautsprecher oder ein Chromecast werden dabei als Hilfsmittel genutzt und sorgen dafür, dass der Nutzer das Tracking weder bemerkt noch in irgendeiner Art und Weise der Freigabe seines Standorts zustimmen muss. Die dafür notwendigen Technologien stammen alle aus dem Hause Google.

Das ganze funktioniert folgendermaßen: Dem Angreifer muss es gelingen, den Nutzer etwa einer Minute auf einer Webseite zu halten, auf der der entsprechende Code implementiert ist und im Hintergrund arbeitet. Im Hintergrund wird nach Google-Geräten im Netzwerk des Nutzers gesucht, was durch die lokale Ausführung des Codes im Browser problemlos möglich ist. An diese IP-Adressen werden dann Befehle gesendet, die durch den lokalen Zugriff ebenfalls wieder von den Geräten akzeptiert werden und keine weitere Prüfung stattfindet.

Die Geräte melden eine Liste mit allen erkannten WLAN-Netzwerken inklusive Signalstärke zurück, die wiederum mit den Google Location Services verarbeitet werden können. Diese liefern per Triangulation den exakten, auf etwa 10 Meter genauen, Standort des Nutzers zurück. All das geschieht ohne jegliche Abfrage im Browser, auf dem Computer oder auf dem Home, Home Mini oder Chromecast.

Hier wird die Sicherheitslücke demonstriert

Als der Entdecker diese Sicherheitslücke öffentlich an Google gemeldet hat, ist er zuerst abgeblitzt und das Thema wurde sehr schnell geschlossen – offenbar hatten die Entwickler das falsch eingeschätzt. Beim zweiten Anlauf, diesmal mit Unterstützung von einem bekannten Sicherheitsforscher, wurde das Problem ernst genommen und Google hat mittlerweile einen Fix angekündigt, der etwa Mitte Juli automatisch auf die Geräte überspielt wird. Bis dahin bleiben sie aber in puncto Standort des Nutzers gesprächig.

Natürlich gibt es auch andere Möglichkeiten, den Standort des Nutzers herauszufinden, aber diese sind entweder extrem ungenau (über die IP-Adresse) oder der Nutzer muss seine Zustimmung zum Tracking im Browser geben. Der Entdecker hat übrigens darauf hingewiesen, dass rein theoretisch auch viele andere Geräte auf einen solchen Angriff anfällig wären und hat auch Smart TVs und andere Internet-of-Things Geräte ins Spiel gebracht. Ob das auch mit Amazons Echo-Lautsprechern funktionieren würde, wurde leider nicht vermeldet.

Als Workaround, bis zur Auslieferung von Googles Fix oder auch dauerhaft, wird empfohlen, diese Geräte nicht im gleichen Netzwerk wie den Computer zu betreiben. Denn dann wäre es ein Zugriff von außen und würde ohne eine vorherige Autorisierung nicht funktionieren.

» Ausführlicher Bericht bei TripWire

---

---