Google, un bug svela la posizione di Home e Chromecast

Google Home e Google Chromecast svelano la propria posizione a causa di un bug di sicurezza: Google risolverà il problema entro il mese di luglio, chiudendo la porta ad eventuali malintenzionati.

Google Home e Google Chromecast potrebbero rivelare con estrema facilità la propria posizione ad un malintenzionato che, da remoto, potrebbe carpire questo dettaglio attraverso un banale link. Insomma: per Google un sicuro passo falso, peraltro su prodotti particolarmente sensibili come Google Home (prodotto che dialoga con l'utente e che necessita pertanto di una fiducia particolare).

Il bug è stato svelato da Craig Young, ricercatore Tripwire, il quale ha ricostruito le fasi dell'attacco enunciandole come estremamente semplici da portare a compimento. Anzitutto occorre semplicemente proporre alla vittima un link, chiedendone il click e cercando di mantenere il collegamento attivo per un minuto circa (proponendo ad esempio nel frattempo altri contenuti che richiedano la permanenza sulla pagina): la vittima deve essere sulla medesima rete usata da Home o Chromecasts, situazione del tutto comune in ambiente casalingo. Dopo il click, un codice è in grado di chiedere a Google Home e Chromecast di verificare la presenza di reti wireless nei paraggi, inviandone l'elenco ad un server remoto: qui una rapida verifica è in grado di incrociare i dati e, tramite semplice triangolazione, è possibile individuare il device sul territorio con somma precisione.

Quest'ultimo dettaglio svela il lato più preoccupante del problema di sicurezza emerso. Conoscere l'esatta posizione del device, infatti, potrebbe consentire ad un malintenzionato di portare avanti ad esempio un attacco di phishing ad hoc, mirato, personalizzato e pertanto estremamente più invasivo ed efficace. Google Home e Google Chromecast diventerebbero insomma spie involontarie che, tramite la comune analisi delle reti Wifi disponibili, potrebbero consentire di trafugare informazioni preziose per attacchi di grave entità.

Google avrebbe confermato il problema promettendo un update risolutivo a livello software entro il mese di luglio. L'analisi di Craig Young e gli approfondimenti di KrebsOnSecurity (che hanno imposto a Google una risposta nel merito) portano così alla sollecita risoluzione di un problema che poteva altrimenti rivelarsi come una silente backdoor dalla quale carpire informazioni. Il che dovrebbe una volta di più servire come monito ed elemento pedagogico per quanti sottovalutano le questioni relative alla sicurezza informatica, anche e soprattutto quando si tratta di device personali e di uso "leggero" nell'intrattenimento domestico.
15 Commenti alla Notizia Google, un bug svela la posizione di Home e Chromecast
Ordina
  • Bellissima frase: "Dopo il click, un codice è in grado di chiedere a Google Home e Chromecast di verificare la presenza di reti wireless nei paraggi, inviandone l'elenco ad un server remoto".

    E non invia anche il backup dell'HD?
    AH, no, il backup ce lo aveva già, nel cloud, giusto per ripristinare in caso di guasti!
    non+autenticato
  • - Scritto da: umby
    > Bellissima frase: "Dopo il click, un codice è in
    > grado di chiedere a Google Home e Chromecast di
    > verificare la presenza di reti wireless nei
    > paraggi, inviandone l'elenco ad un server
    > remoto".
    >
    > E non invia anche il backup dell'HD?
    > AH, no, il backup ce lo aveva già, nel cloud,
    > giusto per ripristinare in caso di
    > guasti!
    consiglio di leggere il post di Young, che con PI e' come farsi spiegare fisica quantistica da borghezio..
    non+autenticato
  • - Scritto da: bubba

    > consiglio di leggere il post di Young, che con
    > PI e' come farsi spiegare fisica quantistica da
    > borghezio..

    Io ho avuto tante esperienze con il mio pelosone e ho imparato tantissimo.
    Ad esempio: i cetrioli gli piacciono sia la sera, sia la mattina. Inoltre ho visto il castello fatato in cui vive e posso darti per certa la presenza di variegate travi, di ogni dimensione e colore; devo ancora comprendere al meglio la loro utilità, ma sono sicuro che imparerò anche questo, visionando cosa fa la luce che illumina le nostre ombre.
    non+autenticato
  • - Scritto da: Panda Assassino
    > - Scritto da: bubba
    >
    > > consiglio di leggere il post di Young, che
    > con
    > > PI e' come farsi spiegare fisica quantistica
    > da
    > > borghezio..
    >
    > Io ho avuto tante esperienze con il mio pelosone
    > e ho imparato
    > tantissimo.
    > Ad esempio: i cetrioli gli piacciono sia la sera,
    > sia la mattina. Inoltre ho visto il castello
    ... mi chiedo pero' se tu non abbia sbagliato forum.. sei sicuro non sia piu' adatto 4chan sezione /pedobear o affini, per queste tue voglie?
    non+autenticato
  • Ecco il solito winaro che invece di guardare il cetriolo guarda il dito.
    Qui l'argomento è che winsozz fa schifo e che apple si fa pagare a peso d'oro i cetrioli, cosa c'entra google e linux?
    Ci tieni così tanto a vincere il premio trave nell'oculo?

    Comunque se non siete capaci di cucinarvi le rom andate nei forum di taglio e cucito, questo è un forum di professionisti che tengono altissimo il livello qualitativo dei contenuti coi loro interventi grazie al loro prestigioso curriculo nell'oculo.

    Io per esempio mi sono fatto dei maggici scripte che collego a qualsiasi aggeggio e maggicamente me lo piallano e mi installano tutte robbe aggratisse, perchè il futuro è un mondo interconnesso aggratisse dove mangi a sbafo aggratisse, dove è la rete che decide.

    E adesso aspetto il solito piddino che mi attacca solo perchè sta sparendo dalla faccia della terra o è destinato a diventare pecora. Io a questo soggetto rispondo: hai perso!! vai di maalox rosikone!!!
    non+autenticato
  • - Scritto da: randa possa
    > Ecco il solito winaro che invece di guardare il
    > cetriolo guarda il
    > dito.
    > Qui l'argomento è che winsozz fa schifo e che
    > apple si fa pagare a peso d'oro i cetrioli, cosa
    > c'entra google e linux?
    >
    > Ci tieni così tanto a vincere il premio trave
    > nell'oculo?
    >
    > Comunque se non siete capaci di cucinarvi le rom
    > andate nei forum di taglio e cucito, questo è un
    > forum di professionisti che tengono altissimo il
    > livello qualitativo dei contenuti coi loro
    > interventi grazie al loro prestigioso curriculo
    > nell'oculo.
    >
    > Io per esempio mi sono fatto dei maggici scripte
    > che collego a qualsiasi aggeggio e maggicamente
    > me lo piallano e mi installano tutte robbe
    > aggratisse, perchè il futuro è un mondo
    > interconnesso aggratisse dove mangi a sbafo
    > aggratisse, dove è la rete che
    > decide.
    >
    > E adesso aspetto il solito piddino che mi attacca
    > solo perchè sta sparendo dalla faccia della terra
    > o è destinato a diventare pecora. Io a questo
    > soggetto rispondo: hai perso!! vai di maalox
    > rosikone!!!
    Sei un portento.
    Hai perfettamente replicato l'atteggiamento del solito pandolo.
    Mi associo all'altro commento: 10/10 Sorride
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: randa possa
    > > Ecco il solito winaro che invece di guardare
    > il
    > > cetriolo guarda il
    > > dito.
    > > Qui l'argomento è che winsozz fa schifo e che
    > > apple si fa pagare a peso d'oro i cetrioli,
    > cosa
    > > c'entra google e linux?
    > >
    > > Ci tieni così tanto a vincere il premio trave
    > > nell'oculo?
    > >
    > > Comunque se non siete capaci di cucinarvi le
    > rom
    > > andate nei forum di taglio e cucito, questo
    > è
    > un
    > > forum di professionisti che tengono
    > altissimo
    > il
    > > livello qualitativo dei contenuti coi loro
    > > interventi grazie al loro prestigioso
    > curriculo
    > > nell'oculo.
    > >
    > > Io per esempio mi sono fatto dei maggici
    > scripte
    > > che collego a qualsiasi aggeggio e
    > maggicamente
    > > me lo piallano e mi installano tutte robbe
    > > aggratisse, perchè il futuro è un mondo
    > > interconnesso aggratisse dove mangi a sbafo
    > > aggratisse, dove è la rete che
    > > decide.
    > >
    > > E adesso aspetto il solito piddino che mi
    > attacca
    > > solo perchè sta sparendo dalla faccia della
    > terra
    > > o è destinato a diventare pecora. Io a questo
    > > soggetto rispondo: hai perso!! vai di maalox
    > > rosikone!!!
    > Sei un portento.
    > Hai perfettamente replicato l'atteggiamento del
    > solito
    > pandolo.
    > Mi associo all'altro commento: 10/10 Sorride
    In una cosa aveva ragione, il Panda Rossa... Vi è entrato di brutto nel cervello.
    non+autenticato
  • - Scritto da: randa possa
    > Ecco il solito winaro che invece di guardare il
    > cetriolo guarda il
    > dito.
    > Qui l'argomento è che winsozz fa schifo e che
    > apple si fa pagare a peso d'oro i cetrioli, cosa
    > c'entra google e linux?
    >
    > Ci tieni così tanto a vincere il premio trave
    > nell'oculo?
    >
    > Comunque se non siete capaci di cucinarvi le rom
    > andate nei forum di taglio e cucito, questo è un
    > forum di professionisti che tengono altissimo il
    > livello qualitativo dei contenuti coi loro
    > interventi grazie al loro prestigioso curriculo
    > nell'oculo.
    >
    > Io per esempio mi sono fatto dei maggici scripte
    > che collego a qualsiasi aggeggio e maggicamente
    > me lo piallano e mi installano tutte robbe
    > aggratisse, perchè il futuro è un mondo
    > interconnesso aggratisse dove mangi a sbafo
    > aggratisse, dove è la rete che
    > decide.
    >
    > E adesso aspetto il solito piddino che mi attacca
    > solo perchè sta sparendo dalla faccia della terra
    > o è destinato a diventare pecora. Io a questo
    > soggetto rispondo: hai perso!! vai di maalox
    > rosikone!!!

    Bravo gugghione!!
    non+autenticato
  • Che strano, google sa sempre tutto ed i suoi bug riguardano spesso la privacy. Nel mio bel telefono ho disattivato la geolocalizzazione (avevo due opzioni, gps e tramite wifi), dopo un aggiornamento del telefono viene fuori la terza opzione tramite celle telefoniche, ovviamente attivata. Per mesi il mio telefono, senza icone o avvisi di alcun tipo, mi ha registrato movimenti in macchina verso il lavoro, tragitto a piedi, dove ho mangiato, quando son tornato a casa, se e dove ho preso aperitivo, dove ho posteggiato ecc ecc. Tutto in modo chiaro e trasparente certo, infatti se vado nell'apposita pagina di google loro te lo fanno vedere cosa hanno registrato, solo che la loro speranza è che nessuno guardi, nessuno si accorga, passi tutto in sordina.
    Aggiungo a questo il fatto che in quasi tutte le robe IoT c'è dentro linux in versione bacata e/o spiona, stessa cos per android, io direi di vedere qualche clausola della gplv3 perché non si può dare in mano ad aziende che non gliene frega niente della nostra privacy il codice e poi loro si vantano di avercelo duro e puro (parlo del codice): tutto marketing ed al primo bug gli aggiornamenti ce li sogniamo. Mi sono rotto. Questo non è né il progresso che mi immaginavo da ragazzo, né l'informatica a servizio della gente. Sarò anche stato un illuso ma ormai le applicazioni commerciali della tecnologia sono sempre più spesso rivolte alla nostra profilazione, e tutto perché ormai non si vuole pagare più niente, pretendiamo che sia tutto gratis e ci stiamo scavando la fossa da soli.
    non+autenticato
  • Se non vuoi essere profilato/spiato, avvolgi il telefono nella stagnola. Punto. Tutto il resto sono ciance.
    non+autenticato
  • - Scritto da: punto panda
    > Se non vuoi essere profilato/spiato, avvolgi il
    > telefono nella stagnola. Punto. Tutto il resto
    > sono
    > ciance.

    Tipica affermazione di chi è asservito e per pigrizia o mancanza di conoscenza tra cosa è infosmog e cosa è profilazione allora accetta tutto così com'è. Libero di farlo ed io libero di avvolgere nella stagnola non tutto il telefono ma solo sistemi ed app che voglio.
    non+autenticato
  • - Scritto da: bugunpardiO O
    > Che strano, google sa sempre tutto ed i suoi bug
    > riguardano spesso la privacy. Nel mio bel
    > telefono ho disattivato la geolocalizzazione
    > (avevo due opzioni, gps e tramite wifi), dopo un
    > aggiornamento del telefono viene fuori la terza
    > opzione tramite celle telefoniche, ovviamente
    > attivata. Per mesi il mio telefono, senza icone o
    > avvisi di alcun tipo, mi ha registrato movimenti
    > in macchina verso il lavoro, tragitto a piedi,
    > dove ho mangiato, quando son tornato a casa, se e
    > dove ho preso aperitivo, dove ho posteggiato ecc
    > ecc. Tutto in modo chiaro e trasparente certo,
    > infatti se vado nell'apposita pagina di google
    > loro te lo fanno vedere cosa hanno registrato,
    > solo che la loro speranza è che nessuno guardi,
    > nessuno si accorga, passi tutto in
    > sordina.
    > Aggiungo a questo il fatto che in quasi tutte le
    > robe IoT c'è dentro linux in versione bacata e/o
    > spiona, stessa cos per android, io direi di
    > vedere qualche clausola della gplv3 perché non si
    > può dare in mano ad aziende che non gliene frega
    > niente della nostra privacy il codice e poi loro
    > si vantano di avercelo duro e puro (parlo del
    > codice): tutto marketing ed al primo bug gli
    > aggiornamenti ce li sogniamo. Mi sono rotto.
    > Questo non è né il progresso che mi immaginavo da
    > ragazzo, né l'informatica a servizio della gente.
    > Sarò anche stato un illuso ma ormai le
    > applicazioni commerciali della tecnologia sono
    > sempre più spesso rivolte alla nostra
    > profilazione, e tutto perché ormai non si vuole
    > pagare più niente, pretendiamo che sia tutto
    > gratis e ci stiamo scavando la fossa da
    > soli.

    Ben svegliato! Hai capito che siamo svenduti al miglior offerente?

    E qualora si dovessero pagare (i servizi ) in futuro, questi signori non rinunciano più al misfatto. Il boccone e troppo dolce per disfarsene.
    non+autenticato
  • - Scritto da: bugunpardiO O
    > Che strano, google sa sempre tutto ed i suoi bug
    > riguardano spesso la privacy. Nel mio bel
    > telefono ho disattivato la geolocalizzazione
    > (avevo due opzioni, gps e tramite wifi), dopo un
    > aggiornamento del telefono viene fuori la terza
    > opzione tramite celle telefoniche, ovviamente
    > attivata. Per mesi il mio telefono, senza icone o
    > avvisi di alcun tipo, mi ha registrato movimenti
    > in macchina verso il lavoro, tragitto a piedi,
    > dove ho mangiato, quando son tornato a casa, se e
    > dove ho preso aperitivo, dove ho posteggiato ecc
    > ecc. Tutto in modo chiaro e trasparente certo,
    > infatti se vado nell'apposita pagina di google
    > loro te lo fanno vedere cosa hanno registrato,
    sarebbe interessante vedere degli screenshot e il setup del tuo telefono.. xche suona di cazzata galatticaSorride
    L'affaire "cellid mandato all'insaputa dell utente" c'e' stato si, nel 2017, lo mandava FCM (firebase cloud msg service) che e' 'dentro' il google play services.. si beccava sta info vedendo il pull-push coi server di google. Che GMS prima e FCM poi supportino come API mcn,mnc,cellid e' cosa ovvia e documentata.. che li mandasse a muzzo, no. La cosa e' venuta fuori sniffando infatti, goog disse si e' vero.. "ci serve come improvment per le notifiche o cose cosi" .. prima c'era solo mnc,mcc poi pure cellid.. pero' dissero anche "queste info non sono mai state inserite nel network, nel syncinc. le usiamo poi vengono cancellate". Dopo esser stati beccati FCM non le manda neanche piu, in quel modo.
    ERGO sarebbe interessante come tu te le trovi consultando la dashboard di goog, visto che nessuno lo ha mai fatto/viste primaSorride

    > Aggiungo a questo il fatto che in quasi tutte le
    > robe IoT c'è dentro linux in versione bacata e/o
    > spiona, stessa cos per android, io direi di
    > vedere qualche clausola della gplv3 perché non si
    > può dare in mano ad aziende che non gliene frega
    > niente della nostra privacy il codice e poi loro
    > si vantano di avercelo duro e puro (parlo del
    > codice): tutto marketing ed al primo bug gli
    > aggiornamenti ce li sogniamo. Mi sono rotto.
    > Questo non è né il progresso che mi immaginavo da
    > ragazzo, né l'informatica a servizio della gente.
    > Sarò anche stato un illuso ma ormai le
    > applicazioni commerciali della tecnologia sono
    > sempre più spesso rivolte alla nostra
    > profilazione, e tutto perché ormai non si vuole
    > pagare più niente, pretendiamo che sia tutto
    > gratis e ci stiamo scavando la fossa da
    > soli.
    bel pippotto.. ma purtroppo i PRIMI a VOLER popolare i database profilanti di apple,google,M$ ecc sono proprio gli utenti. Una volta avevi un bel tomtom, mappe su SD e nessuna connessione. Pero' devi poi comprare/crackare le mappe, upparle nella sd, avere lo scatolo.. e poi non sono mai aggiornate blabla. Molto meglio un google maps/un Waze/ecc e preciso super aggiornato sul telefono... e sono io utente che lo rendo cosi' efficiente.. mandando vagonate di dati (proprio volontariamente anche ... )
    non+autenticato