Sicherheitslücke in Google Home und Chromecast verrät Standort

Googles smarter Lautsprecher Home und der Streaming-Stick Chromecast können den Standort des Nutzers verraten. Das hat der Sicherheitsforscher Craig Young herausgefunden. Dazu benötigt ein Angreifer lediglich eine manipulierte Webseite, auf der im Hintergrund ein Skript ausgeführt wird. Dieses fragt WLAN-Netzwerke und deren Signalstärke ab. Diese Informationen reichen bereits aus, um mithilfe von Googles Geolocation-API den Standort des Geräts auf wenige Meter genau zu bestimmen.

Die Geolocation-API greift auf eine umfangreiche Datenbank an gespeicherten Standorten von WLAN-Netzwerken und Mobilfunkmasten zurück und bestimmt abhängig davon mithilfe von Triangulation die Position. Laut Young sei der Standort dermaßen präzise, dass er mithilfe dieser Methode sogar seine Adresse bestimmen konnte. Die einzige Einschränkung der Methode: Die manipulierte Webseite muss zumindest eine Minute geöffnet sein, damit ausreichend Daten gesammelt werden können.

Update kommt im Juli

Die Standortdaten eines Google Home oder Chromecast mögen auf den ersten Blick irrelevant erscheinen, haben aber für Online-Betrüger einen durchaus großen Wert. So könnten gefälschte Dokumente einfacher personalisiert werden, sodass die Betrugsmasche eine höhere Erfolgswahrscheinlichkeit hat. Dabei handelt es sich meist um Zahlungsaufforderungen des Finanzamtes oder der Polizei sowie Erpresserbriefe, in denen behauptet wird, dass man das Opfer dabei gefilmt habe, wie es sich gerade Pornos anschaut.

Google zeigte sich zunächst uneinsichtig und gab der Sicherheitslücke den Status von „beabsichtigtem Verhalten“, das nicht geändert werden solle. Doch wenig später änderte Google seine Meinung und gab gegenüber Brian Krebs bekannt, man werde ein Update Mitte Juli veröffentlichen.