Google Home e Chromecast possono rivelare la loro posizione. Fix in arrivo

19 Giugno 2018 49

I prodotti delle famiglie Google Home e Chromecast hanno una falla di sicurezza che permette di individuare da remoto la posizione precisa di un utente. Google ha già riconosciuto il problema e ha detto che rilascerà un aggiornamento correttivo entro qualche settimana.

Il problema è stato scoperto da Craig Young, ricercatore presso la società di sicurezza Tripwire. Più che di "bug" vero e proprio, si dovrebbe parlare di una scelta di progettazione poco oculata, e si può riassumere in poche semplici parole: i dispositivi non richiedono l'autenticazione per richieste provenienti dalla rete locale.

Tutto ciò che un malintenzionato deve fare è comunicare con un Google Home o un Chromecast facendo loro credere che le richieste provengano da una macchina collegata alla stessa rete locale - tecnica nota da tempo nell'ambiente della sicurezza informatica con il nome di DNS Rebinding. L'attacco è particolarmente interessato alla lista delle reti Wi-Fi disponibili nelle vicinanze, che grazie ai servizi di geolocalizzazione di Google vengono tradotti anche in un indirizzo fisico. Da notare che la posizione così ottenuta è molto più precisa di quella basata sull'indirizzo IP, che può essere approssimativa di qualche chilometro.

L'attacco può essere condotto completamente da remoto, e richiede in genere meno di un minuto per restituire un indirizzo fisico ragionevolmente preciso. L'unica condizione è che la vittima lasci il codice infetto in esecuzione per tutto il tempo: insomma, non basta cliccare un link sospetto che porta a una pagina vuota. L'attaccante deve riuscire a mantenere l'attenzione della vittima per almeno un po' di tempo - quindi potrebbe inserire il codice in un banner pubblicitario, o un qualsiasi altro elemento di una pagina web.

Pare che, in principio, Google non si sia nemmeno resa conto della gravità del problema. È stato riportato inizialmente a maggio, ma uno sviluppatore della società ha rapidamente chiuso il caso senza indicazioni di una correzione in arrivo. In un secondo tempo, la questione è stata esaminata con più attenzione.

Il massimo rapporto qualità/prezzo? Motorola Moto G5 è in offerta oggi su a 95 euro.

49

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
sopaug

mi spiace per te, hai perso un'occasione di arricchimento.

sopaug

ah quindi chi usa una rete anonimizzante con una criticità tale da temere una pseudolocalizzazione del genere ha un google home nella stessa sottorete. E' talmente stu.pido che nemmeno tu lo faresti :)

sopaug

evidentemente sei talmente esperto che non riesci a capire ciò che scrivo, io invece continuerò a ribattere alle tue fesserie perchè persone come te sono il male della comunità diffondendo sospetti e illazioni dove invece è tutto molto chiaro.

Ti sei almeno preso la briga di leggere la privacy policy o spari A CASO perchè sei convinto che ti spiino? Se loro dicono che NON CONSERVANO e NON INCROCIANO tale HTTP request o tu hai PROVE del contrario e dell''ILLECITO che stanno commettendo oppure stai dicendo una fesseria.

E tanto perchè sei un espertone del settore rischi pure una bella denuncia per diffamazione se non stai attento ad affermazioni temerarie di questo tipo nei confronti di una società che sicuramente sa come tutelarsi.

TLC 2.0
takaya todoroki

p.s. no, lascia perdere ho letto la tua risposta sotto, è proprio inutile parlare con te... bloccato ed addio :D

takaya todoroki

ok, confermi di non sapere nulla sul lato tecnico.
Mi risparmio la risposta lunga così non perdo tempo ad insegnare le cose.

suggerimento: se compare un'immagine allora non è un link ma c'è di mezzo *ALMENO* un HTTP REQUEST ai server di Google

p.s.
ti filtro perchè in tre messaggi che ho letto di te ho letto solo saccenza ed inesattezze tecniche.

addio :DDDDD

takaya todoroki

se hai capito tecnicamente come funziona l'attacco e non hai nulla da ridire sulla sua pericolosità per chi usa reti anonimizzanti, beh, non c'è altro da aggiungere ;)

sopaug

io ho spiegato cosa succede, in parole semplici che puoi capire anche tu.

Se pensi che sia sbagliato spiega meglio. Voglio vedere dove hai sbagliato nel tuo ragionamento Perchè ovviamente è come ho scritto io, e fondamentalmente è una baggianata, da correggere ovviamente ma con impatto pratico zero per chi non sia un ricercato.

sopaug

mi vuoi far davvero credere che google non sia sotto la lente di ingrandimento per tutte le attività che svolge? Certo, piú comodo credere ai gomplotti eh!

Nello specifico, quello è solo un link, chiunque con lightbeam e un analizzatore di cookies a caso può capire che bon raccoglie un tubo. Ma ripeto, è bello fare il qualunquista complottista.

Davvero, che fesseria...

Alex Maia

Ma praticamente google home rimane sempre in ascolto?
Andando a riascoltare i comandi che gli ho dato, tramite 'le mie attività', ho notato che viene registrata anche la frase iniziale 'hey google' e anche la parola detta prima.

takaya todoroki

"Cosa che con i servizi google puntualmente avviene, nel pieno rispetto della normativa."

Davvero?
E come mai quando esporto i dati dal mio profilo google non figura la lista dei siti che io ho visitato in cui c'era l'iconcina Google plus?
Mi vuoi far credere che l'iconcina non serve per associare gli utenti ai siti che visitano?
Mi vuoi far credere che loro non registrano l'informazione?

DAVVERO? che fesseria (cit.)

takaya todoroki

se sminuici così il problema evidentemente non hai chiare le implicazioni.

sopaug

Scelta non furba, ma ben lungi dall'essere realmente pericolosa.

Un wall of text ben poco chiaro per cercare di essere tecnici per dire che semplicemente attraverso una pagina web malevola consultata un client nella stessa rete si riesce a lanciare un discover delle reti locali vicine al google home in questione.

Nemmeno un log, ma un semplice discover... Ma per favore :)

sopaug

che fesseria.
Nel 2018 e dopo tutto il casino sul GDPR c'è ancora gente tanto ignorante da pensare ancora che "privacy" significhi "nessuno sa niente di me" nel qualunquismo più totale piuttosto che "io so cosa sanno di me gli altri".

Cosa che con i servizi google puntualmente avviene, nel pieno rispetto della normativa.

MiniPaul | ex Sheldon Cooper

Ho un normale e un mini, ma ho aperto entrambi

T. P.

li portavi già benissimo nel 1961!!! :)
complimenti! :)

Top Cat

Sono del 1890.

T. P.

fichissimo!!!

ma tu ora quanti anni hai???
meglio lasciarmi nel dubbio per ricordati giovane, bello ed ovviamente molto smart!!! :)
al correttore italico, smart in questo caso è voluto e dovuto! :)

Squak9000

effettivamente....

gia se si usa Facebook... e a euota whatsapp non penso che bisognerebbe farsi troppe domande

Corrado

Grazie, una bufala con funghi, una margerita e una patate e salciccia vanno bene

Squak9000

e vabbè... manco puoi stare a comprare tutta la mondezza sul mercato... riempi casa.

Per ora gestisco qualche luce ambientale e presa direttamente da HomeKit di Apple che trovo eccezionale... il telefono e il tablet pnestamente li ho sempre a portata.

Spotify... ma ho le miei playlist che preferisco sfogliare, se voglio sentire qualcosa non ho problemi a premere sul display...

Poi altre menate e chicche che non sto ad elencare ...

non saprei... ma lo proveró a breve.

Squak9000

Grazie per aver condiviso

Top Cat

Si staranno arrubbando tutto.

Top Cat

Io ero in tv e tu mi vedevi.
Che storia.

Vincenzo

Se hai delle luci smart da comandare, è comodo per chiedergli ogni tanto qualcosa(ok c'è lo smartphone ma mentre sei in giro per casa marci senza tel dietro è comodo), un paio di volte abbiamo anche giocato in famiglia ci sono un paio di giochi simpatici, mettere anche un po' di musica non guasta... Insomma non è certo essenziale ma come per uno smartwatch è una comodità

Vincenzo

Prendi il prezzo del nuovo e togli l'Iva

IGN_mentale

Alcune lvorano al Billa, altre in un Apple Store...

Corrado

ragà, se vi dovesse servire, io abito a marino in provincia di roma, in viale primo maggio. Così faticate di meno...

Askbruzz

Sarei curioso di compararlo con alexa che mi ha mandato amazon

kalabro

beh' chromecast a parte che uso dalla sua uscita ( 4 anni?) e che non potrei farne a meno, insomma me la porto anche all'estero per usarla in hotel o casa vacanze, il mini l'ho venduto dopo 1 settimana, poi ho approfittato dell'offerta di home a 99 e devo dire che a parte i 6 apparecchi di controllo luci e prese, per la musica unito ad un account premium ( spotify o play) è eccezionale...certo a 150 solo per musica non saprei anche se cmq basta iniziare poi il resto viene..dipende anche da quanto si è attratti da queste cose

takaya todoroki

lo vendi senza problemi sui 40 se è nuovo mai aperto.

MiniPaul | ex Sheldon Cooper

Potrei provarci.

A che prezzo si vende?
Ci sono molte offerte...

T. P.

cavolo, si ho verificato subito dopo aver scritto!!!
addirittura del 61!!!

io lo vedevo negli anni ultimi 70/primi 80 ma davvero non potevo presumere avesse già vent'anni quando io lo vedevo...

l'agente charlie sarà in pensione da un pezzo, ormai!!!
ahahaha

Squak9000

Bah... dipende anche da come hai organizzato casa.
Domotica... audio... dispositivi vari ecc...

Per ascoltare solo la musica secondo me é un no.

Top Cat

1961.

T. P.

intendevo in quanto tu gatto!!! :)
mitico amicone degli anni '70...
o erano già gli '80?
poi verifico! :)

Top Cat

No, piacciono di più a Orlaf.

Pip

Boh, io ancora non ho capito se sono interessato a queste cose o no... Avevo quasi intenzione di prende un chromecast e un Google home mini, totale spesa 100 euro, ma non ne sono convintissimo...

T. P.

tutti maschi...
ad alcuni potresti anche piacere! :)
si sa, i gusti sono gusti!

Top Cat

E le nipoti?

IGN_mentale

Se non sbaglio ora la più giovane delle 3 ha 53 anni, buona fortuna!

IGN_mentale

Anche io ho fatto lo stesso!
Dopo 2 giorni era già in mano al pirla di turno!

Top Cat

Che bello e magari rischio uno stupro dalle tipe di Occhi di Gatto.

a'ndre 'ci

sisi, "bug"... cerrtoooooo...

takaya todoroki

Io ne ho avuto uno gratis (comprando smartphone), quando mi è arrivato, senza neanche aprirlo gli ho fatto una foto, ho messo l'annuncio su ebay e dopo un'ora ero in posta ;)

josefor

humm ora sanno dove sei grazie a google home, ti verranno a rubare il nokia 6.1...

takaya todoroki

"Da notare che la posizione così ottenuta è molto più precisa di quella basata sull'indirizzo IP"

Piuttosto noterei che la geolocalizzazione tramite reti wi-fi ti becca anche se usi un proxy, una VPN o perfino TOR ;)

Comunque nulla di che, chi usa questi affari non deve avere nessun aspettativa di privacy

MiniPaul | ex Sheldon Cooper

Ho preso un Home e un Mini per provarli, quando erano in sconto.
Inizialmente ero anche mezzo soddisfatto... con il tempo, se possibile, sono peggiorati.

Sono deluso al 100% (ma ormai fuori dai termini per la restituzione).

Top Cat

Google Home e Chromecast possono rivelare la loro posizione.
Fix in arrivo.
In pratica se sanno la tua posizione i fix ti localizzano e arrivano.
Mi pare ovvio.

GUIDA | Android 9 Pie su Pocophone F1 e su tanti altri Smartphone | Video

OPPO Find X LIVE Batteria (3730 mAh): fine 20.45

I miracoli della Google Camera: Mi A2 VS Mi A2 Lite | Confronto fotografico

PocoPhone vs Honor Play vs Nokia 7 Plus: confronto | Video