Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste prijsvergelijker en beste community. Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers!

Google Home en Chromecast kunnen precieze locatie vrijgeven

Google Home en de Chromecast hebben een authenticatiekwetsbaarheid die het mogelijk maakt de precieze locatie van de apparaten op afstand uit te lezen. Google werkt aan een fix voor de kwetsbaarheid.

De kwetsbaarheid is uit te buiten door een gebruiker op een link te laten klikken terwijl hij†met hetzelfde netwerk is verbonden†als de Google Home-speaker of de Chromecast-speler. De link kan bijvoorbeeld onderdeel zijn van een tweet of advertentie. Nadat de gebruiker heeft geklikt, kan de aanvaller een lijst van nabije wifinetwerken opvragen bij de Home of Chromecast.

Omdat Google de locatie van draadloze netwerken in kaart heeft gebracht, is de locatie van de apparaten via de html5-geolocatie-api precies vast te stellen. Via het ip-adres is bijvoorbeeld slechts een globale indruk van de locatie te verkrijgen.†De voorwaarden zijn dat het doelwit de verbinding met de link ongeveer een minuut openhoudt en er voldoende wifinetwerken in de buurt zijn om de positie via triangulatie accuraat te bepalen.

De basis van de kwetsbaarheid ligt bij de Home-app die voor de Home-speaker en Chromecast wordt gebruikt†bij de configuratie van de netwerkinstellingen. Deze vergt hiervoor geen authenticatie en werkt via de lokale http-server. Beveiligingsbureau Tripwire, dat het probleem ontdekte, zette zijn dns-rebindingsoftware in voor de aanval.

Volgens Krebs on Security kan de aanval bijvoorbeeld misbruikt worden bij phishing- en afpersingspogingen. Google vond aanvankelijk dat er geen probleem was, omdat de dienst werkte zoals die bedoeld was, maar uiteindelijk besloot het bedrijf zowel de Home als de Chromecast te updaten. Dit moet halverwege juli gebeuren.

Door Olaf van Miltenburg

NieuwscoŲrdinator

19-06-2018 • 11:04

77 Linkedin Google+

Reacties (77)

Wijzig sortering

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True