Google Home e Chromecast hanno problemi di privacy

E’ stato scoperto un problema di privacy che affligge i dispositivi Home (l’altoparlante smart) e Chromecast (il dongle HDMI per lo streaming) di Google. A trovarlo è stato Craig Young, un ricercatore della compagnia di sicurezza Tripwire, che lo ha poi riportato sul portale di KrebsonSecurity. Se sfruttato questo bug consentirebbe a questi dispositivi di inviare la posizione precisa degli utenti a dei malintenzionati.

"Un utente malintenzionato può invitare la vittima ad aprire un collegamento mentre è connesso alla stessa rete Wi-Fi o cablata di un dispositivo Google Chromecast o Home" per raccogliere da questi device i dati sulla posizione, "l’unica vera limitazione è che il link deve rimanere aperto per circa un minuto prima che l’attaccante abbia una posizione" riporta KrebsOnSecurity.

La vulnerabilità è grave perchè non richiede che il malintenzionato sia collegato alla stessa rete della vittima, puo’ compiere il suo attacco da remoto. Basta che la vittima faccia clic su un link ricevuto lasciando aperta la pagina contenente il codice malevolo per circa un minuto per far ottenere all’attaccante i dati sulla posizione ricevuti dai dispositivi Home e Chromecast connessi alla stessa rete. Il link potrebbe essere inviato attraverso mail spam, servizi di messaggistica, pubblicità spam o anche un tweet: ecco perchè è importante non cliccare mai nei link di cui non si sa la provenienza o la pagina a cui rimandano.

Malintenzionati potrebbero ottenere più facilmente i dati sulla posizione attraverso il tracciamento dell’indirizzo IP di una connessione ma tale informazione non è sempre molto precisa. È frequente che i siti web mantengano un registro degli indirizzi IP (Internet Protocol) numerico di tutti i visitatori e tali indirizzi possono essere utilizzati in combinazione con strumenti di geolocalizzazione online per raccogliere informazioni sulla città o sulla regione di ciascun visitatore. In molti casi la geolocalizzazione tramite IP offre solo un’idea generale di dove l’indirizzo IP può essere basato geograficamente , mentre piu’ precisi sono i dati di geolocalizzazione di Google, che includono mappe complete dei nomi delle reti wireless in tutto il mondo, che collegano ogni singola rete Wi-Fi ad una posizione fisica corrispondente. Con questi dati, Google può molto spesso determinare la posizione di un utente in un raggio di pochi metri, triangolando l’utente tra diversi punti di accesso Wi-Fi mappati nelle vicinanze. Non a caso dentro Google Maps la posizione in cui ci si trova viene mostrata in tempi brevissimi dopo l’apertura dell’app. Per confronto, la geolocalizzazione tramite IP è accurata solo per circa 5 chilometri.

Young ha aggiunto che, oltre a far trovare una posizione geografica precisa dell’utente attraverso i dati di Chromecast o Google Home, questo bug potrebbe aiutare i malintenzionati a rendere gli attacchi di phishing e di estorsione più realistici: "Le implicazioni di questo sono abbastanza ampie tra cui la possibilità di ricorrere a campagne di estorsione o ricatti più efficaci", ha affermato. "Le minacce di pubblicare foto compromettenti o esporre un segreto ad amici e parenti potrebbero servire per dare credibilità agli avvertimenti e aumentare le loro probabilità di successo".

Per proteggersi una soluzione puo’ essere collegare i dispositivi connessi di Google ad un router secondario rispetto a quello di rete principale. Si potrebbe, ad esempio, collegare la porta WAN del secondo router ad una porta LAN aperta sul router principale (quello collegato alla rete internet) per avere la cosiddetta configurazione di router ‘a cascata’.

Quando Young ha contattato Google per la prima volta in merito alla sua scoperta la società ha risposto chiudendo il suo bug report con un messaggio "Status: Will not Fix (Intended Behavior)" ma dopo essere stata contattata da KrebsOnSecurity Google ha deciso di lavorare ad un aggiornamento per affrontare il problema, update che sarà distribuito da metà luglio 2018.