Sicherheitslücke bei Google Home: Standortdaten können verraten werden
Wie sich herausstellte, können Angreifer ungewollten Zugriff auf die Standortdaten von Google Home-Nutzer kommen. Google selbst will diese Panne nun mit einem Update ausbessern.
Mit einer Sicherheitspanne sorgte der Suchmaschinengigant Google für einen Eklat. So soll der Smart Speaker Google Home per Browser die Standortdaten seiner Nutzer verraten haben. Doch obwohl der US-Konzern die Sicherheitslücke entdeckte, entschloss er sich zunächst dazu, kein Update anzubieten. Erst als sich der Sicherheitsexperte Brian Krebs einschaltete, änderte das Unternehmen seine Meinung.
Millionen Ortsangaben preisgegeben
Schätzungen von Marktforschern zufolge, soll Google allein im letzten Jahr weit über 10 Millionen Smart Speaker verkauft haben. In vielen Ländern konnten die Lautsprecher mit integriertem Sprachassistenten eine große Verbreitung erzielen. In den meisten Fällen ist es zwar erwünscht, wenn die Geräte des Konzerns den Aufenthaltsort ihrer Benutzer kennen. Nicht wenige User erklären sich damit einverstanden und schalten die Standorterkennung nicht aus. Bisher war jedoch nicht bekannt, dass die Speaker den Standort sogar Dritten gegenüber offenbaren können.
Wie der Angriff funktioniert
Die Abfrage des Standorts gestaltet sich hierbei besonders einfach. Hierzu muss es dem Angreifer lediglich gelingen, den User ungefähr eine Minute lang auf einer Website zu halten, auf der entsprechende Codes implementiert sind. Im Netzwerk des Users wird im Hintergrund nach Geräten von Google gesucht, was dank der lokalen Ausführung des Codes im Browser ohne Probleme möglich ist. Anschließend werden Befehle an die ermittelten IP-Adressen verschickt, welche von den Geräten ohne eine weitere Prüfung und durch den lokalen Zugriff gestattet werden. Die Geräte senden daraufhin eine Liste an die Google-Geolocation-API. Schon weiß der Angreifer – der sich im selben Netz befinden muss – bis zu zehn Meter genau, wo sich der Nutzer befindet.
Update steht bereit
Nach einem Bericht des Sicherheitsspezialisten Brian Krebs hat sich Google nun zum Handeln entschlossen. Zuvor war das Unternehmen der Ansicht, dass die Fehlermeldung nicht auf eine Sicherheitslücke zurückgehe, sondern auf ein unerwünschtes Verhalten. Die Kalifornier versprechen innerhalb der nächsten Wochen ein Update, wodurch verhindert werden soll, dass die Geräte über einen Homepage-Link zur Bekanntgabe des Standorts verleitet werden.
