Ik weet waar je woont
Onderzoeker Craig Young van Tripwire heeft ontdekt (dat doen ze nu eenmaal) dat er een potentieel ernstige fout zit in de software van de Chromecast en de Google Home. Het zou vrij eenvoudig mogelijk zijn om via deze twee apparaten de fysieke locatie te achterhalen.
Het probleem begint bij het feit dat Chromecast en Google Home geen authentificatie nodig hebben wanneer er een commando over een lokaal netwerk wordt gegeven. De aanvaller kan via een advertentie een link binnensmokkelen die via een techniek, die 'DNS-rebinding' heet, zich gedraagt als een lokale link waarvoor dus geen authenticatie nodig is. Met andere woorden, er wordt niet gecontroleerd wat de link of het commando doet en waar het vandaan komt. Hiermee wordt een lijst opgevraagd van alle beschikbare WiFi-netwerken en met de Google locatiedienst kan er dan vrij makkelijk en heel precies worden bepaald waar het apparaat staat.
Dat een onbevoegd persoon vrij gemakkelijk toegang kan krijgen tot een netwerk en daarna precies weet waar dat netwerk is is natuurlijk een serieus veiligheidsrisico.
Patch
Toen de onderzoeker de fout meldde aan Google werd het eerst niet in behandeling genomen. Bij een tweede poging zag men dat het hier om een potentieel gevaar gaat en werkt Google aan een oplossing voor het probleem. Er is nog geen bewijs gevonden dat deze techniek daadwerkelijk is gebruikt voor een aanval op een netwerk. Het is wel duidelijk dat dit soort zaken niet horen en snel opgelost moeten worden.
Bron: AndroidPolice
