Ошибка в Chromecast и Google Home позволяет узнать положение пользователя

Устройства Chromecast и Google Home имеют уязвимость, которая позволяет любому веб-сайту получить доступ к службе точного определения местоположения Google, чтобы узнать точное местоположение устройств.

Chromecast и Google Home показывают позицию пользователя

Как правило, веб-сайты могут получить приблизительное представление о местонахождении пользователя по IP-адресу устройства, но оно не является чрезвычайно точным, поэтому конфиденциальность посетителей в некоторой степени защищена. Google использует высокоточные службы определения местоположения, которые полагаются на беспроводные сети вокруг пользователя для точной триангуляции их положения.

Мы рекомендуем прочитать наш пост на Amazon Fire TV Stick: теперь доступен конкурент Chromecast

Сбой в этих устройствах позволяет любому веб-сайту видеть близлежащие беспроводные соединения и выполнять перекрестные ссылки на базу данных Google, чтобы определить точное местоположение пользователя. Крейг Янг, исследователь, обнаруживший эту уязвимость, говорит, что, хотя приложение Google, которое использует эту функцию, подразумевает, что вы должны войти в учетную запись Google, связанную с целевым устройством, в систему не встроен механизм аутентификации. уровень протокола.

Янг говорит, что он смог проверить ошибку только в трех разных местах, но в каждом случае местоположение, полученное на сайте, соответствовало правильному адресу. Когда следователь первоначально представил сообщение об ошибке в Googl и описал проблему, компания отклонила отчет и закрыла его. Но когда Krebs связался с Security, компания заявила, что исправит проблему с помощью обновления, запланированного на июль.

Конфиденциальность пользователей является основной темой обсуждения, так как Facebook часто выделяется по наихудшим причинам, эта ошибка и первоначальный ответ Google, похоже, указывают на то, что социальная сеть не единственная, кто совершает несколько ошибок.