Sicherheitsforscher Craig Young von Tripwire hat Schwachstellen in Googles smartem Lautsprecher Home und in dem Streamingstick Chromecast gefunden, die es Angreifern ermöglicht, den exakten Standort der Geräte zu ermitteln. “Ich war tatsächlich in der Lage, die aus den Geräten extrahierten Daten zu verwenden, um ihren physischen Standort mit erstaunlicher Genauigkeit zu bestimmen”, sagte Young in einem Blogbeitrag, den er mit “Google’s Newest Feature: Find My Home” betitelt hat.
Young fand heraus, dass er den Webbrowser auf einem Computer dazu benutzen kann, um einen Chromecast oder Google Home Smart Speaker zu erreichen, der mit dem gleichen Router verbunden ist. In seinem Test konnte er Informationen über seinen eigenen Standort aus seinem Chromecast gewinnen.
Ohne Interaktion eines Nutzers funktioniert der Angriff allerdings nicht. Zuerst richtete Young eine Website ein, die eine bösartige Software enthält. Dann öffnete er die Website auf seinem eigenen Computer. Dadurch wurde sein Hacking-Programm aktiv, das sich umsah und feststellte, dass sein Chromecast auch mit dem gleichen Router wie sein Computer verbunden war. Schließlich schickte die Website eine Anfrage an den Chromecast, der die Standortdaten zurückschickte. Der Angriff funktioniert unabhängig vom verwendeten Betriebssystem und Browser.
Obwohl in den verwendeten Geräten kein GPS-Emfänger integriert ist, weiß Google, wo sie sich befinden, weil es detaillierte Informationen über den Standort von Web-Routern auf der ganzen Welt sammelt.
“Die Implikationen davon sind recht weit gefasst, einschließlich der Möglichkeit effektiverer Erpressungsversuchee”, sagte Young. “Mit den Standortdaten könnten Drohungen, kompromittierende Fotos freizugeben oder ein Geheimnis für Freunde und Familie zu enthüllen, mehr Nachdruck verliehen werden und so die Erfolgschancen für Angreifer erhöhen.”
Als Young im Mai zum ersten Mal Kontakt zu Google aufnahm, antwortete das Unternehmen, indem es seinen Fehlerbericht mit dem Status kennzeichnete: Won’t Fix (Intended Behavior). Aber nachdem Google von KrebsOnSecurity kontaktiert wurde, änderte der Internetkonzern seine Meinung und sagte, es plane, ein Update Mitte Juli herauszubringen, das die beschriebenen Sicherheitsmängel beseitige.
Einsatz von KI-Lösungen wirbelt auch in deutschen Unternehmen die Liste der Top-Technologieanbieter durcheinander.
Echtzeitüberweisungen erfüllen die Erwartungen der Nutzer an Geschwindigkeit, sind jedoch anfällig für spezifische Sicherheits- und…
Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.
Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.
KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…
Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…
