Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google Home en Chromecast kunnen precieze locatie vrijgeven

Google Home en de Chromecast hebben een authenticatiekwetsbaarheid die het mogelijk maakt de precieze locatie van de apparaten op afstand uit te lezen. Google werkt aan een fix voor de kwetsbaarheid.

De kwetsbaarheid is uit te buiten door een gebruiker op een link te laten klikken terwijl hij†met hetzelfde netwerk is verbonden†als de Google Home-speaker of de Chromecast-speler. De link kan bijvoorbeeld onderdeel zijn van een tweet of advertentie. Nadat de gebruiker heeft geklikt, kan de aanvaller een lijst van nabije wifinetwerken opvragen bij de Home of Chromecast.

Omdat Google de locatie van draadloze netwerken in kaart heeft gebracht, is de locatie van de apparaten via de html5-geolocatie-api precies vast te stellen. Via het ip-adres is bijvoorbeeld slechts een globale indruk van de locatie te verkrijgen.†De voorwaarden zijn dat het doelwit de verbinding met de link ongeveer een minuut openhoudt en er voldoende wifinetwerken in de buurt zijn om de positie via triangulatie accuraat te bepalen.

De basis van de kwetsbaarheid ligt bij de Home-app die voor de Home-speaker en Chromecast wordt gebruikt†bij de configuratie van de netwerkinstellingen. Deze vergt hiervoor geen authenticatie en werkt via de lokale http-server. Beveiligingsbureau Tripwire, dat het probleem ontdekte, zette zijn dns-rebindingsoftware in voor de aanval.

Volgens Krebs on Security kan de aanval bijvoorbeeld misbruikt worden bij phishing- en afpersingspogingen. Google vond aanvankelijk dat er geen probleem was, omdat de dienst werkte zoals die bedoeld was, maar uiteindelijk besloot het bedrijf zowel de Home als de Chromecast te updaten. Dit moet halverwege juli gebeuren.

Door Olaf van Miltenburg

NieuwscoŲrdinator

19-06-2018 • 11:04

77 Linkedin Google+

Reacties (77)

Wijzig sortering
Is dat gebeurt tijdens de ronde die Google gemaakt heeft tijdens de streetview actie? dan is de data misschien al wel verouderd? Lees als in vervangen AP´s/routers en dergelijke.
Sterker nog. Iedere keer als jij WiFi op je Android toestel op iOS apparaat aanzet worden de gegevens over de beschikbare netwerken (SSIDs, signaalsterkte etc) doorgestuurd naar Google of Apple. Deze hebben databases vol met deze gegevens die ze o.a. gebruiken voor locatiebepaling. Daarom krijg je ook vaak de melding dat locatiebepaling nauwkeuriger is als je je WiFi aanzet. Dus niks geen streetcar, iedereen heeft de “streetcar” in z’n zak zitten.
Die gegevens worden wel degelijk doorgestuurd. Ga maar naar Instellingen > Privacy > Locatievoorzieningen > Info over 'Locatievoorzieningen' en privacy:
Als locatievoorzieningen zijn ingeschakeld, stuurt je iPhone periodiek de geo-tagged locaties van dichtbijzijnde wifihotspots en telefoonmasten in een anonieme en gecodeerde vorm naar Apple ter uitbreiding en verbetering van deze crowd-sourced database met locaties van wifihotspots en telefoonmasten.
Ik weet niet hoe het bij Google zit maar bij Apple worden de gegevens niet verstuurd naar Apple maar lokaal opgeslagen.
Voor zover ik weet worden deze gegevens naar Apple gestuurd en opgeslagen:
If Location Services is on, your iPhone will periodically send the geo-tagged locations of nearby Wi-Fi hotspots and cell towers in an anonymous and encrypted form to Apple, to be used for augmenting this crowd-sourced database of Wi-Fi hotspot and cell tower locations.
Bron: https://support.apple.com/en-us/HT207056

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True