Уязвимость в Google Chromecast и Google Home позволяет определить их точное местоположение.
В устройствах Google Chromecast и Google Home обнаружена уязвимость, позволяющая любому web-сайту получить доступ к сервису геолокации Google и определить точное местоположение гаджетов с погрешностью до 1 м. Как правило, web-сайты получают общие сведения о местонахождении пользователей по IP-адресам подключающихся к сайтам устройств. Однако такой метод не отличается высокой точностью и позволяет лишь примерно прикинуть географическое местоположение IP-адресов. Поэтому для установления местонахождения пользователей Google использует высокоточные геолокационные сервисы, определяющие местоположение устройств на основании их расположения по отношению к окружающим беспроводным сетям.
Как сообщает исследователь компании Tripwire Крейг Янг (Craig Young), уязвимость в Google Chromecast и Google Home позволяет web-сайтам определять ближайшие беспроводные подключения и с помощью перекрестных ссылок на базу данных Google устанавливать точное местоположение пользователей.
«Хотя использующее данный функционал приложение Google предполагает, что вы должны быть авторизованы в учетной записи Google, связанной с целевым устройством, по факту, какой-либо механизм аутентификации на уровне протокола отсутствует», — отметил Янг.
Исследователь протестировал уязвимость только на трех адресах, но все три раза полученные web-сайтом геолокационные данные были верны.
