Google reparará la fuga de datos de ubicación en Google Home, Chromecast – Krebs on Security

Google Se espera que en las próximas semanas arregle una fuga de privacidad de ubicación en dos de sus productos de consumo más populares. Una nueva investigación muestra que los sitios web pueden ejecutar un script simple en segundo plano que recopila datos de ubicación precisos de las personas que tienen una Página principal de Google o Chromecast dispositivo instalado en cualquier lugar de su red local.

craig jovenun investigador de la empresa de seguridad cable trampadijo que descubrió una debilidad de autenticación que filtra información de ubicación increíblemente precisa sobre los usuarios tanto del altavoz inteligente como del asistente doméstico Página principal de Googley Chromecastun pequeño dispositivo electrónico que simplifica la transmisión de programas de televisión, películas y juegos a un televisor o monitor digital.

Young dijo que el ataque funciona pidiendo al dispositivo de Google una lista de redes inalámbricas cercanas y luego enviando esa lista a los servicios de búsqueda de geolocalización de Google.

“Un atacante puede ser completamente remoto siempre que pueda hacer que la víctima abra un enlace mientras está conectado a la misma red Wi-Fi o por cable que un dispositivo Google Chromecast o Home”, dijo Young a KrebsOnSecurity. “La única limitación real es que el enlace debe permanecer abierto durante aproximadamente un minuto antes de que el atacante tenga una ubicación. El contenido del ataque podría estar contenido en anuncios maliciosos o incluso en un tweet”.

Es común que los sitios web mantengan un registro de los números Dirección de Protocolo de Internet (IP) de todos los visitantes, y esas direcciones se pueden usar en combinación con herramientas de geolocalización en línea para obtener información sobre la ciudad o región de origen de cada visitante. Pero este tipo de información de ubicación suele ser bastante imprecisa. En muchos casos, la geolocalización de IP ofrece solo una idea general de dónde se puede basar geográficamente la dirección IP.

Este no suele ser el caso con los datos de geolocalización de Google, que incluyen mapas completos de nombres de redes inalámbricas en todo el mundo, vinculando cada red Wi-Fi individual a una ubicación física correspondiente. Armado con estos datos, Google muy a menudo puede determinar la ubicación de un usuario dentro de unos pocos pies (particularmente en áreas densamente pobladas), triangulando al usuario entre varios puntos de acceso Wi-Fi mapeados cercanos. [Side note: Anyone who’d like to see this in action need only to turn off location data and remove the SIM card from a smart phone and see how well navigation apps like Google’s Waze can still figure out where you are].

“La diferencia entre esto y una geolocalización IP básica es el nivel de precisión”, dijo Young. “Por ejemplo, si geolocalizo mi dirección IP en este momento, obtengo una ubicación que está aproximadamente a 2 millas de mi ubicación actual en el trabajo. Para la conexión a Internet de mi hogar, la geolocalización de IP solo tiene una precisión de unas 3 millas. Sin embargo, con mi demostración de ataque, he obtenido constantemente ubicaciones a unos 10 metros del dispositivo”.

Young dijo que una demostración que creó (cuyo video se encuentra a continuación) es lo suficientemente precisa como para que pueda decir aproximadamente qué tan lejos está su dispositivo en la cocina de otro dispositivo en el sótano.

“Hasta ahora solo he probado esto en tres entornos, pero en cada caso la ubicación corresponde a la dirección de la calle correcta”, dijo Young. «La geolocalización basada en Wi-Fi funciona triangulando una posición según la intensidad de la señal a los puntos de acceso Wi-Fi con ubicaciones conocidas según los informes de los teléfonos de las personas».

Más allá de filtrar la ubicación geográfica precisa de un usuario de Chromecast o Google Home, este error podría ayudar a los estafadores a hacer que los ataques de phishing y extorsión parezcan más realistas. Las estafas comunes como las advertencias falsas del FBI o el IRS o las amenazas de publicar fotos comprometedoras o exponer algún secreto a amigos y familiares podrían abusar de los datos de ubicación de Google para dar credibilidad a las advertencias falsas, señala Young.

“Las implicaciones de esto son bastante amplias, incluida la posibilidad de campañas de chantaje o extorsión más efectivas”, dijo. “Las amenazas de publicar fotos comprometedoras o exponer algún secreto a amigos y familiares podrían usar esto para dar credibilidad a las advertencias y aumentar sus probabilidades de éxito”.

Cuando Young se comunicó por primera vez con Google en mayo acerca de sus hallazgos, la compañía respondió cerrando su informe de error con un mensaje de «Estado: no se solucionará (comportamiento previsto)». Pero después de ser contactado por KrebsOnSecurity, Google cambió de opinión y dijo que planeaba enviar una actualización para abordar la fuga de privacidad en ambos dispositivos. Actualmente, esa actualización está programada para ser lanzada a mediados de julio de 2018.

Según Tripwire, la fuga de datos de ubicación se debe a una autenticación deficiente de los dispositivos Google Home y Chromecast, que rara vez requieren autenticación para las conexiones recibidas en una red local.

“Debemos suponer que cualquier dato accesible en la red local sin credenciales también es accesible para adversarios hostiles”, escribió Young en una entrada de blog sobre sus hallazgos. “Esto significa que todas las solicitudes deben autenticarse y todas las respuestas no autenticadas deben ser lo más genéricas posible. Hasta que lleguemos a ese punto, los consumidores deben separar sus dispositivos lo mejor posible y tener en cuenta qué sitios web o aplicaciones se cargan mientras están en la misma red que sus dispositivos conectados”.

A principios de este año, KrebsOnSecurity publicó algunas reglas básicas para proteger sus diversos dispositivos de «Internet de las cosas» (IoT). Ese manual carecía de un consejo que es un poco más técnico pero que puede ayudar a mitigar los problemas de seguridad o privacidad que surgen con el uso de sistemas IoT: crear su propia «Intranet de las cosas», segregando los dispositivos IoT del resto de su red local para que que residen en una red completamente diferente de los dispositivos que utiliza para navegar por Internet y almacenar archivos.

“Una solución mucho más fácil es agregar otro enrutador en la red específicamente para dispositivos conectados”, escribió Young. “Al conectar el puerto WAN del nuevo enrutador a un abierto Puerto LAN en el enrutador existente, el código del atacante que se ejecuta en la red principal no tendrá una ruta para abusar de esos dispositivos conectados. Aunque esto no evita por defecto los ataques de los dispositivos IoT a la red principal, es probable que la mayoría de los ataques ingenuos ni siquiera reconozcan que hay otra red para atacar”.

Para obtener más información sobre cómo configurar una solución de varios enrutadores para mitigar las amenazas de los dispositivos IoT, consulte este post en profundidad sobre el tema del investigador de seguridad y bloguero steve gibson.

Actualización, 19 de junio, 6:24 p. m. ET: Los problemas de autenticación que encontró Tripwire no son exclusivos de los productos de Google, según una extensa investigación publicada hoy por el artista y programador Brannon Dorsey. Verificar Wired.comLa historia de la investigación de Dorsey aquí.

¿Que te ha parecido?

Deja un comentario