Zowel de Google Chromecast als Google Home zijn kwetsbaar voor een aanval waarbij de precieze locatie van de gebruiker achterhaald kan worden. Deze locatie kunnen kwaadwillende vervolgens gebruiken om een gerichte phishing aanval op te zetten.
Lek in Google Home-app
Het lek komt voort uit een lokale http-webserver die de Google Home-app gebruikt voor het instellen van de slimme apparaten. De hacker vraagt vervolgens via de Chromecast of Google Home en lijst van nabijgelegen WiFi-netwerken op. Google en ook andere bedrijven houden databases bij met waar een WiFi-netwerk is geplaatst met als doel locatiebepaling zonder GPS. Door de lijst van ontvangen WiFi-netwerken met de database te vergelijken kan een apparaat vrij nauwkeurig op de kaart worden vastgelegd.
In eerste instantie vond Google de kwetsbaarheid verwacht gedrag van de apparaten. De verwachting is dat Google in de komende weken een update zal uitbrengen voor zowel de Home als Chromecast waarmee de kwetsbaarheid gedicht wordt. Halverwege juli zou het probleem volledig verholpen moeten zijn.
Bron KrebsonSecurity
