Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google Home en Chromecast kunnen precieze locatie vrijgeven

Google Home en de Chromecast hebben een authenticatiekwetsbaarheid die het mogelijk maakt de precieze locatie van de apparaten op afstand uit te lezen. Google werkt aan een fix voor de kwetsbaarheid.

De kwetsbaarheid is uit te buiten door een gebruiker op een link te laten klikken terwijl hij met hetzelfde netwerk is verbonden als de Google Home-speaker of de Chromecast-speler. De link kan bijvoorbeeld onderdeel zijn van een tweet of advertentie. Nadat de gebruiker heeft geklikt, kan de aanvaller een lijst van nabije wifinetwerken opvragen bij de Home of Chromecast.

Omdat Google de locatie van draadloze netwerken in kaart heeft gebracht, is de locatie van de apparaten via de html5-geolocatie-api precies vast te stellen. Via het ip-adres is bijvoorbeeld slechts een globale indruk van de locatie te verkrijgen. De voorwaarden zijn dat het doelwit de verbinding met de link ongeveer een minuut openhoudt en er voldoende wifinetwerken in de buurt zijn om de positie via triangulatie accuraat te bepalen.

De basis van de kwetsbaarheid ligt bij de Home-app die voor de Home-speaker en Chromecast wordt gebruikt bij de configuratie van de netwerkinstellingen. Deze vergt hiervoor geen authenticatie en werkt via de lokale http-server. Beveiligingsbureau Tripwire, dat het probleem ontdekte, zette zijn dns-rebindingsoftware in voor de aanval.

Volgens Krebs on Security kan de aanval bijvoorbeeld misbruikt worden bij phishing- en afpersingspogingen. Google vond aanvankelijk dat er geen probleem was, omdat de dienst werkte zoals die bedoeld was, maar uiteindelijk besloot het bedrijf zowel de Home als de Chromecast te updaten. Dit moet halverwege juli gebeuren.

Door Olaf van Miltenburg

Nieuwscoördinator

19-06-2018 • 11:04

77 Linkedin Google+

Reacties (77)

Wijzig sortering
Zou dan een eventuele optie kunen zijn dat je de benaming van je WIFI veranderd of zit daar nog een unique ID aan vast, zodat dit geen zin heeft. Want als ze kijken naar beschikbare draadloze netwerken in de buurt.

Omdat Google de locatie van draadloze netwerken in kaart heeft gebracht, is de locatie van de apparaten via de html5-geolocatie-api precies vast te stellen.

Is dat gebeurt tijdens de ronde die Google gemaakt heeft tijdens de streetview actie? dan is de data misschien al wel verouderd? Lees als in vervangen AP´s/routers en dergelijke.
Is dat gebeurt tijdens de ronde die Google gemaakt heeft tijdens de streetview actie? dan is de data misschien al wel verouderd? Lees als in vervangen AP´s/routers en dergelijke.
Sterker nog. Iedere keer als jij WiFi op je Android toestel op iOS apparaat aanzet worden de gegevens over de beschikbare netwerken (SSIDs, signaalsterkte etc) doorgestuurd naar Google of Apple. Deze hebben databases vol met deze gegevens die ze o.a. gebruiken voor locatiebepaling. Daarom krijg je ook vaak de melding dat locatiebepaling nauwkeuriger is als je je WiFi aanzet. Dus niks geen streetcar, iedereen heeft de “streetcar” in z’n zak zitten.
Die gegevens worden wel degelijk doorgestuurd. Ga maar naar Instellingen > Privacy > Locatievoorzieningen > Info over 'Locatievoorzieningen' en privacy:
Als locatievoorzieningen zijn ingeschakeld, stuurt je iPhone periodiek de geo-tagged locaties van dichtbijzijnde wifihotspots en telefoonmasten in een anonieme en gecodeerde vorm naar Apple ter uitbreiding en verbetering van deze crowd-sourced database met locaties van wifihotspots en telefoonmasten.
Ik weet niet hoe het bij Google zit maar bij Apple worden de gegevens niet verstuurd naar Apple maar lokaal opgeslagen.
Voor zover ik weet worden deze gegevens naar Apple gestuurd en opgeslagen:
If Location Services is on, your iPhone will periodically send the geo-tagged locations of nearby Wi-Fi hotspots and cell towers in an anonymous and encrypted form to Apple, to be used for augmenting this crowd-sourced database of Wi-Fi hotspot and cell tower locations.
Bron: https://support.apple.com/en-us/HT207056
Grappig dat je Google meteen beschuldigd, of wantrouwt met data, maar Apple blindelings vertrouwt terwijl zij precies hetzelfde doen..
Bij soortgelijke acties betekent niet dat het wantrouwen evengroot hoeft te zijn. Ik geloof Apple eerder om zorgvuldig met mijn data om te gaan dan Google, lauter en alleen door de verdienmodellen van de bovenstaande bedrijven
Wow Mike.... Ik hoop dat je die laatste opmerking nog eens wat extra bedenktijd geeft.
Wat bedoel je precies? Dat is toch precies wat het is?
Google: verdient aan data.
Apple: verdient aan hardware.

De meeste (zo niet alle, not sure) is voor specifieke diensten en wordt volgens mij anoniem naar Apple gestuurd. En je hebt de keuze het uit te zetten.
Nee zo is het niet precies. Apple verdient ook aan je data. Die mensen gaan echt niet op een goudmijn zitten om er vervolgens niets mee te doen.
Kun je dat onderbouwen met bronnen? Want zeggen dat mensen wel je data moeten verkopen omdat ze anders op een onaangeboorde goudmijn zitten is zoiets als astrotv, zeg maar.

Tim Cook geeft namelijk regelmatig aan dat zij je data niet eens willen. Ze investeren erg in machine learning op het device zelf, zodat het de cloud niet in gaat.
Ik begrijp dat je niet blind moet staren op de woorden van een CEO maar aan de andere kant, Apple heeft voldoende inkomen om niet geld te willen verdienen met je data op een manier zoals Facebook en Google dat doen.
At times Apple may make certain personal information available to strategic partners that work with Apple to provide products and services, or that help Apple market to customers.

Dus....

[Reactie gewijzigd door HerrArchitect op 20 juni 2018 10:37]

misschien ook even een verwijzing naar de bron opnemen?
Zijn jullie (Apple fans) nou echt zo naïef??

Alle bedrijven doen hun ding om geld te verdienen, da's uiteraard logisch.
Het onlogische is dat je hier aan meewerkt zonder dat je er iets voor terugkrijgt.
Mooiste is dat Apple meer geld vangt van je portemonnee én via je data. Zie ook reactie van @Alphyraz :Y)
Initieel is de database wel opgebouwd met behulp van de Streetview Car. Dat is in het nieuws geweest omdat Google (per ongeluk) te veel data daarbij verzameld had. Daarna is het toegevoegd aan de locatie bepaling in (o.a.) Android. Overigens moet je wel eerst toestemming geven voor gebruik van WiFi wanneer je de locatie bepaling inschakelt (en ja, er is dan een vinkje omdat te onthouden). Daarna maakt het niet meer uit of je WiFi aan of uit staat en of je verbonden bent of niet, zolang locatie bepaling aan staat wordt er gescand op aanwezige WiFi-netwerken. Dat kost trouwens ook extra accu (daarom heb ik geen toestemming gegeven om WiFi te gebruiken, ik heb het binnen niet nodig en buiten voldoet GPS).
Hoe het bij Apple zit weet ik niet precies, maar meestal volgen die Google als iets werkt.
Weet je hoeveel Android telefoons in de wereld zijn? Daarmee kun je die data ook heel goed verzamelen. Zou me verbazen als ze dat niet doen.
Destijds kon je het wifi netwerk de suffix _NOMAP meegeven als je niet wilde dat het netwerk meegenomen werd. Tot op de dag van vandaag heb ik dat er in staan, mede om wat SteveWoz al aangeeft.

[Reactie gewijzigd door CH4OS op 19 juni 2018 11:31]

Dat zal dan ook wel niet meer werken als je de reactie van SteveWoz leest.
Hmmm Ik moest al geen Apple toestel, en al geen windows toestel... nu lust ik ook Android al niet meer.
Alternatief: Oude Nokia 33xx? indien je je nog een beetje "veilig" wil voelen?
Maar gooed ik begrijp ook uit het verhaal dat je een aantal seconde (20) via een link moest komen om de data te geven... Nu die dus in de gaten houden.
Geen idee wat de reactie waar ik op doel aangeeft wat niet meer zou werken, in tegendeel zelfs; SteveWoz in 'nieuws: Google Home en Chromecast kunnen precieze locatie vrijge...
Ja, dat heb ik ook bij mijn wifinetwerken gedaan... Google heeft gezegd dat ze wifi netwerken met dit suffix niet zullen opslaan; uiteraard blijven ze wel zichtbaar voor smartphones e.d. Ik weet dus niet of het veel uitmaakt en of ze dergelijke netwerken daadwerkelijk niet opslaan, maar het maakt mij niet uit dat ik een dergelijk suffix op mijn wifi netwerk heb.
Zoals ook te zien is in het filmpje (1:03) worden de MAC addressen van de accespoints gebruikt (BSSID). Deze zijn hardware gebonden dus het is helaas niet een kwestie van ander naampje (SSID) instellen en klaar.
Buiten de _NOMAP, die gerespecteerd moet worden, heeft dit totaal geen zin.

Er wordt, buiten de naam (SSID), ook het MAC adres van de router meegezonden. Deze is veelal niet te veranderen (en dat is de bedoeling, want zo werken MAC adressen). En dat is wat wordt opgeslagen, want namen van wifi-punten zijn niet uniek, en MAC adressen zijn semi-uniek.

Google is zelf niet heel doorzichtig in wanneer het gebeurt is. De streetview auto's brengen het i.i.g. in kaart. Maar het is natuurlijk denkbaar dat dit soort gegevens ook bij de gegevens die Android-telefoons naar Google sturen zit.
Ik maak me meer zorgen om wat Google met mijn data uitspookt. Zo kreeg ik op mijn smartphone het verzoek een review te schrijven voor een restaurant waar mijn vrouw eten is gaan afhalen. Dat gaat al erg ver. Ik wacht met spanning af tot Google me een advocaat adviseert omdat ze hebben vastgesteld dat m'n vrouw vreemd gaat.

Het is wel handig allemaal hoor, dat wel.
Je kan locatie tracking gewoon hier uitzetten. En je kan hier een overzichtje zien van wat voor data ze onder andere van je hebben.
Is het erg dat ik deze bedrijven niet op hun blauwe ogen geloof?
Dan is hier de link om je account te verwijderen ;)
Dit blijf ik zo bizar vinden en de wetgeving zou hier veel strenger rond moeten zijn.
"We zetten gewoon lekker alles aan en je zet het maar uit als je het niet wil"
90% van de mensen beseft dit niet eens en weet ook niet hoe hoe ze zulke zaken moeten uitzetten.
Wil je iets dan moet je het AAN zetten, standaard moet het UIT staan.
avg/gdpr sinds 25 mei is dat ook zo (en overigens ook onder de wpb) is dat al heel lang zo. Dat niemand zich er aan houdt is een compleet ander verhaal. Standaard uit en alleen aan waar je zelf ttoestemming voor geeft.
Welja, officieel is het idd zo, in de praktijk echter...
Dat bedoel ik ook met "veel strenger", men komt er te makkelijk mee weg.
WiFi kan dan nog steeds gebruikt worden om te helpen bij de locatie bepaling (vooral binnen), mits je de locatie dienst op je Android toestel daarvoor toestemming hebt gegeven. Alleen wordt het dan niet meer in jouw profiel verzameld.
Maar hoe weet je zeker dat het echt uit is, zou niet de 1e keer zijn dat een techbedrijf iets toch niet helemaal doet Facebook
Dan zet je die functies toch gewoon uit?
Hadden in de eerste instantie nooit aan moeten staan. Mensen weten dit soort dingen over het algemeen niet ( en ook precies waarom google het standaard lekker aanzet, oh yummy data's )
Heb ik toestemming gegeven aan Google om mijn privé-gegevens te gebruiken.


Het antwoord daarop is nee.


En dan begint het gezeur waarbij je de advocaten van Google op je dak krijgt met een verwijzing naar hun voorwaarden,
als het al niet de discussie is van dat gegevens zijn die ‘vrij’ op straat te ontvangen zijn.
Waarschijnlijk heb je er gewoon netjes toestemming voor gegeven bij het inloggen op je android telefoon met je google account. Als je goed kijkt, dan klik je in het begin 3 pagina's door met vinkjes waarin staat beschreven wat ze verzamelen samen met een knopje om het aan of uit te zetten. Dat knopje staat overigens wel default op 'Ja'.
De functie op iemand anders zijn of haar telefoon? Ze verzamelen dus ook informatie over derden via iemands telefoon. Waar je al dan niet toestemming voor hebt gegeven.
je maakt je zorgen, maar het is handig.

Daar ligt het probleem. Het is handig, dus veel mensen laten Google zijn gang gaan.

Als je je zorgen maakt: zet alles uit wat je uit kan zetten om dit te voorkomen. Blokkeer cookies, en laat Google niet weten waar je iets besteld hebt. Laat Google je locatie gegevens niet gebruiken.

Google weet straks te voorspellen dat je over 5 minuten naar de wc moet. Handig??? Wenselijk???
Big Brother is watching you!

En ja, het is allemaal verrekte handig. We hoeven in principe niet meer zelf na te denken, alles wordt voor ons geregeld.
Je vrouw zegt net tegen mij dat ze wat later thuis is vanavond..
Dat krijg ik ook geregeld op mijn telefoon na ik een bedrijf bezocht heb. Ik gok dat jouw vrouw op haar telefoon jou Google account gebruikt? Anders lijkt me me erg vreemd dat jou gevraagd wordt om een review te geven van een restaurant waar jij niet geweest bent.
Dat is denk ik geen Google maar Google Maps als je het al opzoekt of ze zien je in de buurt, denken ze ook dat je daar heengaat en krijg je automatisch zo een melding.
Vraag me toch een beetje af of deze "kwetsbaarheid" nieuwswaardig is. Je moet al in hetzelfde netwerk zitten als de Home of Chromecast. Daarmee weet je al aardig nauwkeurig waar het apparaat zich bevind lijkt me. Daarbij kan je dan bij dezelfde Wi-Fi netwerken als het apparaat en zo alsnog de locatie opvragen.

Edit: Dankzij drie behulpzame mede-tweakers snap ik nu dat ik als doelwit op hetzelfde netwerk moet zitten, niet als aanvaller. Dat maakt het inderdaad wel een aanzienlijke kwetsbaarheid.

[Reactie gewijzigd door MBicknese op 19 juni 2018 11:19]

Volgens mij gaat het erom dat jij met je smartphone een link aanklinkt waardoor een derde partij via een google chrome of home de locatie van jou netwerk kan opvragen.
Maar als jij op mijn link klik heb ik toch ook jou IP? Met een IP adres kan jou locatie 2x zo snel opvragen.
Met een IP-adres kan je helemaal geen locatie opvragen. Enkel dat het Nederland is. Mijn IP bijvoorbeeld wordt door alle diensten aangewezen als regio Amsterdam, ik woon toch echt in Friesland.
Dat hangt af van je provider, de meesten werken de IP-database wel goed bij.
Sommigen echter niet: KPN heeft jarenlang voor iedere IP gewoon Amsterdam doorgegeven. Dat gebeurde bij vast, mobiel, en ook partners als XS4ALL.
Nee, met het IP kun je een ruwe locatiebepaling doen, en is VPN of een bedrijfsproxy e.d. funest voor locatiebepaling.
Met deze methode - html5-geolocatie, obv de WiFi signalen in de buurt - kan een veel accuratere bepaling gedaan worden.

Ga je gang overigens met mijn IP: 84.30.22.85. Ik gebruik geen VPN. Zeg maar waar ik nu zit. ;)

[Reactie gewijzigd door MarcelG op 19 juni 2018 11:31]

In Weert ergens bij een ANWB winkel in de buurt en volgens je Vraag en Aanbod lijkt dit ook te kloppen. :)

[Reactie gewijzigd door Ryan_ op 19 juni 2018 12:34]

Weert is correct, maar de ANWB is toch 2,5km uit de richting.
Random IP lookup database zegt Weert, wat klopt volgens je twitter account ;-) - preciesere informatie zal ik niet posten hier.

[Reactie gewijzigd door 3rdEden op 19 juni 2018 13:29]

Weert inderdaad. Preciezere informatie kun je op basis van het IP adres niet vinden. Wel op basis van LinkedIn, Twitter, zoekopdrachten etc. Maar puur op IP kom je niet in de buurt.
En dat is het punt; met deze methode (HTML5 Geolocatie) kom je akelig dicht in de buurt, zo'n 5 meter zelfs.
Daar ben ik niet 100% mee eens, het klopt dat de meeste informatie die je kan vinden op basis van IP address niet helemaal accuraat is, dat is omdat veel van de (gratis) sites waarbij je een IP lookup kan doen niet de volledige informatie online zetten en meestal de locatie resetten naar de center van de stad.

Als je toegang heb tot enterprice level databases en/of de verschillende resultaten van de verschillende data providers vergelijkt, city centers weg gooit, en kijkt wat er dan nog overblijft dan kom je ook redelijk in de buurt. In dit geval weet ik met 80% zekerheid dat jou huis nummer zich de 1 t/m 20 cijfer reeks bevind.

Maar je hebt gelijk het in de meeste gevallen niet goed genoeg is tot een preciese locatie te komen, vooral als je het gaat vergeljiken naar alternatieven zoals een HTML5 geo, of het samen voegen met andere bronnen van data die via het web te verkijgen zijn.
Not even close. Slechts 288km er naast.
Hahaha, ik heb het adres van Ziggo in Groningen maar gebruikt :)
De link moet opgevraagd worden door Home en/of Chrome naar wat ik ervan begrijp.

[Reactie gewijzigd door CH4OS op 19 juni 2018 11:32]

Je leest het verkeerd:
De kwetsbaarheid is uit te buiten door een gebruiker op een link te laten klikken terwijl hij met hetzelfde netwerk is verbonden als de Google Home-speaker of de Chromecast-speler.
Dus ik (de aanvaller) stuur jou een link, jij opent het en moet dan toevallig ergens zijn waar een Google Home of Chromecast is en met hetzelfde netwerk verbonden zijn. Ik kan dan de precieze locatie opvragen.
Zeker wel:

> De kwetsbaarheid is uit te buiten door een gebruiker op een link te laten klikken terwijl hij met hetzelfde netwerk is verbonden als de Google Home-speaker of de Chromecast-speler.

Oftewel, jij zit met je mobiel nieuws te lezen en klikt op een link.
De Home en de Chromecast moeten in het zelfde netwerk zitten. De aanvaller niet.
Ik meen mij te herinneren dat je niet in Google's wifi-database wordt opgenomen als je SSID eindigt op _nomap (en om bij Microsoft buiten beeld te blijven moet je ergens in je SSID _optout opnemen). Dat scheelt in elk geval iets, zeker als je buren dat ook allemaal doen!
Ja, dat is zo'n non-oplossing. Dan zou ik mijn WiFi dus al mijnwifi_optout_nomap moeten noemen. En morgen komt Facebook erbij die graag wil dat ik er _ilovemarkzuckerberg inzet 8)7

Ze moeten er opt-in van maken. Ofwel expliciet iedere eigenaar van een AP aanschrijven om toestemming te vragen voor het in kaart brengen.
Waarom zou het opt-in moeten zijn? Jij bent degene die gewoon dat ID broadcast richting de openbare weg.
Algeheel privacy-besef? Als ik op straat loop 'broadcast' ik mijn beeld ook gewoon. Men mag mij zien en ik kan op foto's / camerabeelden verschijnen van bemande camera's, maar zodra de focus naar mij uitgaat, portretten bijvoorbeeld, of met het doel mij in een database vast te leggen, moet mij om toestemming gevraagd worden.

Het is niet erg dat een voorbijganger mijn SSID ziet, maar het hoeft niet in een database vastgelegd te worden.
Dat is een opt-out die in de praktijk gewoon niet werkt. Je noemt nu al twee partijen die allebei andere dingen in het SSID willen hebben. Krijgen we straks dan MijnWifi_optout_nofb_reject_block_nomap_etc SSIDs puur om maar een simpel iets als een opt-out te doen.

Dit soort zaken moeten een opt-in zijn. Maar helaas zien we dat bij steeds meer zaken, als je überhaupt nog een opt-out kan doen. Bedrijven zijn ziek.

[Reactie gewijzigd door Caayn op 19 juni 2018 11:42]

Als het opt-in zou zijn zou er niemand meedoen, en was er nooit wat van gekomen. Opt-in om je router om te configureren is niet realistisch.
Dan maar niet. Worden we ook niet slechter van. En als ze het zo graag willen kunnen ze best actiever om toestemming gaan leuren.

Dit is een beetje een non-argument wat vaak wordt aangehaald. Omdat mensen geen toestemming zouden willen geven bij opt-in moet het maar opt-out worden? Laat ze maar wat harder hun best doen.
Beide tegelijk kan dus niet.
Ik word hier allemaal een beetje moe van
In hoeverre kan je dit een kwetsbaarheid noemen? Dit is natuurlijk altijd met apparaten die poorten open hebben staan en niet zijn beveiligd met een wachtwoord, die zijn altijd benaderbaar via hetzelfde netwerk.

Daar komt nog bij dat je al op dezelfde fysieke locatie moet zijn, dus je weet de locatie van het 'slachtoffer' in feite al.
Ik vermoed om regio lock content te weren als die content niet in jouw regio beschikbaar is.
Kwetsbaarheid of functie?
Heel toevallig gisteren nog een chromecast geïnstalleerd bij mij thuis. Was een tijdje geleden dat ik dat heb gedaan. Wat me al direct opviel is dat de App mijn locatie nodig heeft voor de installatie.

Kan iemand mij helder uitleggen waarom dit eigenlijk nodig is, die locatie? Kan het niet gewoon zo dat hij gevonden kan worden binnen het netwerk zonder die locatie? Want mijn andere stream/media player heeft dat helemaal niet nodig gehad,die vindt hem gewoon binnen mijn netwerk.

toch is het enkel bij het instellen van de cast maar vind het persoonlijk wel apart.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True