Los parlantes inteligentes Google Home y Chromecast tienen una falla de seguridad que permite recolectar información precisa sobre la ubicación del usuario con facilidad. Craig Young, investigador de ciberseguridad de Tripwire, fue quien encontró esta debilidad de autenticación.
De qué se trata exactamente
Para explotar esta vulnerabilidad, el atacante tiene que estar conectado a la misma red que Chromecast o Google Home. Luego debería lograr que el atacante abra un enlace, que se puede enviar a través de cualquier mensaje o correo, y lo mantenga abierto durante al menos un minuto para así conocer su ubicación.
Según explicó Young el ataque consiste en pedirle al dispositivo de Google una lista de redes wifi cercanas para luego enviar esa lista a los servicios de búsqueda de geolocalización de Google.
Usualmente los sitios web mantienen un registro de las direcciones IP de los visitantes y esos datos pueden ser utilizados en combinación con herramientas de geolocalización online para extraer información respecto de la ciudad o región en la que se encuentra el visitante.
/s3.amazonaws.com/arc-wordpress-client-uploads/infobae-wp/wp-content/uploads/2018/06/20125322/Chromecast.jpg)
De hecho, el servicio de geolocalización de Google abarca una mapa exhaustivo de las redes wifi que hay en el mundo y que vinculan cada red a una ubicación física. Esto se constituye a partir de datos de ubicación obtenidos de torres de celulares y nodos de wifi.
«La diferencia entre este caso y una geolocalización de IP básica es el nivel de precisión. Así, si yo geolocalizo mi dirección IP obtendrá una ubicación que está a dos millas de mi ubicación actual», explicó Young, según publicó Krebon Security. Pero debido a esta vulnerabilidad, «se pueden obtener ubicaciones dentro de un radio de 10 metros del dispositivo», detalló el experto.
Los filtración de datos ocurre debido a una falla del sistema en estos dispositivos que no no requiere autenticación para los pedidos de conexión que se reciben en la red local
Qué hacer
Craig habría informado a la compañía sobre este bug en mayo y ahora Google anunció que en julio lanzará un parche de seguridad para solucionar este inconveniente que podría vulnerar la seguridad de los usuarios.
/s3.amazonaws.com/arc-wordpress-client-uploads/infobae-wp/wp-content/uploads/2017/11/22191516/Google-Home-Smart-Speaker.png)
Uno de los principales riesgo es que, al conocer la ubicación exacta del usuario, los ciberatacantes podrían hacer ataques de phishing (engaños) más sofisticados.
Esto podría exponer información confidencial que se comparta a través de esas redes. Este bug hallado en estos dispositivos Google deja en evidencia, una vez más, la vulnerabilidad de los dispositivos conectados donde muchas veces los usuarios no toman recaudos esenciales para cuidar su privacidad. Aquí, algunas recomendaciones generales para tener en cuenta a la hora de usar equipos inteligentes:
1. Conectarse a una red wifi segura, es decir que tenga al menos una contraseña y que no sea abierta y pública.
2. Cambiar la configuración de fábrica del router que se emplea para conectarse a internet, siguiendo estos pasos.
3. Actualizar el firmware, que es el software del dispositivo inteligente. Para eso hay que ingresar al sitio oficial de la marca del equipo y mantenerse informado.
