Google se encuentra trabajando en solucionar un fallo de sus dispositivos Google Home y Chromecast que permite a una web maliciosa obtener datos preciosos sobre la ubicación de los usuarios, según ha confirmado la compañía a Genbeta. La vulnerabilidad fue difundida este martes por el investigador Craig Young y el periodista experto en seguridad Brian Krebs.
Según las averiguaciones de Young, empleado de la firma de seguridad Tripwire, un atacante podría aprovechar una laguna en los sistemas de la compañía californiana para cotejar una lista de redes inalámbricas cercanas con los servicios de búsqueda de geolocalización de la propia Google.
Tras ello, llevando a cabo una triangulación, determinaría una ubicación con un margen de error de apenas unos metros. Similar a la que podría mostrarnos la señal de ubicación propia, el punto azul, que aparece en Google Maps.
En las redes wifi cercanas y la geolocalización de Google estaría la clave
El ataque funcionaría pidiendo a un Google Home o Chromecast un listado de las redes wifi cercanas para, luego, enviar esa lista a los servicios de localización de la propia compañía. Todo esto sería posible siempre y cuando la víctima acceda a un determinado enlace mientras esté conectado a la misma red wifi que los dispositivos de Google o la conexión con ellos sea mediante cable.
El contenido del ataque, que podría encontrarse tanto en anuncios maliciosos como incluso en un tuit según el investigador, sería capaz de triangular la ubicación de un usuario. La clave de todo está, explica Young, en la geolocalización mediante redes wifi, similar a la que hace Android con antenas de telefonía móvil. Además, según su parecer, conocer este dato podría ayudar a un atacante a llevar a cabo campañas de extorsión o chantaje más efectivas.
El experto en seguridad, además de aportar como prueba el vídeo en el que se lleva a cabo uno de estos ataques, explica que probar las capacidades de localización de Google mediante redes wifi es tan fácil como apagar los datos de localización de un terminal, quitarle la tarjeta SIM y ver cómo aplicaciones de navegación como Waze continúan mostrando correctamente la localización del dispositivo.
No obstante, este no es un problema que ataña a Google solamente, sino que es compartido con el resto de compañías responsables de dispositivos que forman parte del internet de las cosas. Así lo cree Young.
“Estos problemas no son específicos de los dispositivos de Google. A lo largo de los años que he estado auditando dispositivos integrados, no es la primera vez que veo un dispositivo que proporciona datos de mediciones wifi u otros detalles únicos del dispositivo, como números de serie. Los televisores inteligentes, por ejemplo, suelen identificarse con un identificador de pantalla único como parte del protocolo DIAL utilizado para admitir funciones similares a las de Cast”.
Sobre el fallo en particular de las creaciones de Google, fuentes cercanas al caso señalan que no existen razones para creer que se esté ante un ataque que haya resultado exitoso. La acción como tal no proporciona automáticamente la ubicación, es necesario ese tratamiento de datos posterior mediante la triangulación, y además se requiere de una permanencia de alrededor de un minuto en el contenido malicioso que lleva a cabo la extracción de datos.
Los parches que impidan este ataque se esperan para dentro de unas semanas.