Google, un bug svela la posizione di Home e Chromecast

Google Home e Google Chromecast svelano la propria posizione a causa di un bug di sicurezza: Google risolverà il problema entro il mese di luglio.

Google Home e Google Chromecast potrebbero rivelare con estrema facilità la propria posizione ad un malintenzionato che, da remoto, potrebbe carpire questo dettaglio attraverso un banale link. Insomma: per Google un sicuro passo falso, peraltro su prodotti particolarmente sensibili come Google Home (prodotto che dialoga con l’utente e che necessita pertanto di una fiducia particolare).

Il bug è stato svelato da Craig Young, ricercatore Tripwire, il quale ha ricostruito le fasi dell’attacco enunciandole come estremamente semplici da portare a compimento. Anzitutto occorre semplicemente proporre alla vittima un link, chiedendone il click e cercando di mantenere il collegamento attivo per un minuto circa (proponendo ad esempio nel frattempo altri contenuti che richiedano la permanenza sulla pagina): la vittima deve essere sulla medesima rete usata da Home o Chromecasts, situazione del tutto comune in ambiente casalingo. Dopo il click, un codice è in grado di chiedere a Google Home e Chromecast di verificare la presenza di reti wireless nei paraggi, inviandone l’elenco ad un server remoto: qui una rapida verifica è in grado di incrociare i dati e, tramite semplice triangolazione, è possibile individuare il device sul territorio con somma precisione .

Quest’ultimo dettaglio svela il lato più preoccupante del problema di sicurezza emerso. Conoscere l’esatta posizione del device, infatti, potrebbe consentire ad un malintenzionato di portare avanti ad esempio un attacco di phishing ad hoc, mirato, personalizzato e pertanto estremamente più invasivo ed efficace. Google Home e Google Chromecast diventerebbero insomma spie involontarie che, tramite la comune analisi delle reti Wifi disponibili, potrebbero consentire di trafugare informazioni preziose per attacchi di grave entità.

Google avrebbe confermato il problema promettendo un update risolutivo a livello software entro il mese di luglio. L’analisi di Craig Young e gli approfondimenti di KrebsOnSecurity (che hanno imposto a Google una risposta nel merito) portano così alla sollecita risoluzione di un problema che poteva altrimenti rivelarsi come una silente backdoor dalla quale carpire informazioni. Il che dovrebbe una volta di più servire come monito ed elemento pedagogico per quanti sottovalutano le questioni relative alla sicurezza informatica, anche e soprattutto quando si tratta di device personali e di uso “leggero” nell’intrattenimento domestico.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • bubba scrive:
    Re: Bello!
    - Scritto da: Panda Assassino
    - Scritto da: bubba


    consiglio di leggere il post di Young, che
    con

    PI e' come farsi spiegare fisica quantistica
    da

    borghezio..

    Io ho avuto tante esperienze con il mio pelosone
    e ho imparato
    tantissimo.
    Ad esempio: i cetrioli gli piacciono sia la sera,
    sia la mattina. Inoltre ho visto il castello... mi chiedo pero' se tu non abbia sbagliato forum.. sei sicuro non sia piu' adatto 4chan sezione /pedobear o affini, per queste tue voglie?
  • Panda Assassino scrive:
    Re: Bello!
    - Scritto da: bubba
    consiglio di leggere il post di Young, che con
    PI e' come farsi spiegare fisica quantistica da
    borghezio..Io ho avuto tante esperienze con il mio pelosone e ho imparato tantissimo.Ad esempio: i cetrioli gli piacciono sia la sera, sia la mattina. Inoltre ho visto il castello fatato in cui vive e posso darti per certa la presenza di variegate travi, di ogni dimensione e colore; devo ancora comprendere al meglio la loro utilità, ma sono sicuro che imparerò anche questo, visionando cosa fa la luce che illumina le nostre ombre.
  • bubba scrive:
    Re: Bello!
    - Scritto da: umby
    Bellissima frase: "Dopo il click, un codice è in
    grado di chiedere a Google Home e Chromecast di
    verificare la presenza di reti wireless nei
    paraggi, inviandone l'elenco ad un server
    remoto".

    E non invia anche il backup dell'HD?
    AH, no, il backup ce lo aveva già, nel cloud,
    giusto per ripristinare in caso di
    guasti!consiglio di leggere il post di Young, che con PI e' come farsi spiegare fisica quantistica da borghezio..
  • Gesuo Bambino scrive:
    Re: Spazio Culturale
    [img]http://m.memegen.com/c8oqjo.jpg[/img]
  • umby scrive:
    Bello!
    Bellissima frase: "Dopo il click, un codice è in grado di chiedere a Google Home e Chromecast di verificare la presenza di reti wireless nei paraggi, inviandone l'elenco ad un server remoto".E non invia anche il backup dell'HD?AH, no, il backup ce lo aveva già, nel cloud, giusto per ripristinare in caso di guasti!
  • bubba scrive:
    Re: Il solito bug
    - Scritto da: bugunpardiO O
    Che strano, google sa sempre tutto ed i suoi bug
    riguardano spesso la privacy. Nel mio bel
    telefono ho disattivato la geolocalizzazione
    (avevo due opzioni, gps e tramite wifi), dopo un
    aggiornamento del telefono viene fuori la terza
    opzione tramite celle telefoniche, ovviamente
    attivata. Per mesi il mio telefono, senza icone o
    avvisi di alcun tipo, mi ha registrato movimenti
    in macchina verso il lavoro, tragitto a piedi,
    dove ho mangiato, quando son tornato a casa, se e
    dove ho preso aperitivo, dove ho posteggiato ecc
    ecc. Tutto in modo chiaro e trasparente certo,
    infatti se vado nell'apposita pagina di google
    loro te lo fanno vedere cosa hanno registrato,sarebbe interessante vedere degli screenshot e il setup del tuo telefono.. xche suona di XXXXXXX galattica :)L'affaire "cellid mandato all'insaputa dell utente" c'e' stato si, nel 2017, lo mandava FCM (firebase cloud msg service) che e' 'dentro' il google play services.. si beccava sta info vedendo il pull-push coi server di google. Che GMS prima e FCM poi supportino come API mcn,mnc,cellid e' cosa ovvia e documentata.. che li mandasse a muzzo, no. La cosa e' venuta fuori sniffando infatti, goog disse si e' vero.. "ci serve come improvment per le notifiche o cose cosi" .. prima c'era solo mnc,mcc poi pure cellid.. pero' dissero anche "queste info non sono mai state inserite nel network, nel syncinc. le usiamo poi vengono cancellate". Dopo esser stati beccati FCM non le manda neanche piu, in quel modo.ERGO sarebbe interessante come tu te le trovi consultando la dashboard di goog, visto che nessuno lo ha mai fatto/viste prima :)
    Aggiungo a questo il fatto che in quasi tutte le
    robe IoT c'è dentro linux in versione bacata e/o
    spiona, stessa cos per android, io direi di
    vedere qualche clausola della gplv3 perché non si
    può dare in mano ad aziende che non gliene frega
    niente della nostra privacy il codice e poi loro
    si vantano di avercelo duro e puro (parlo del
    codice): tutto marketing ed al primo bug gli
    aggiornamenti ce li sogniamo. Mi sono rotto.
    Questo non è né il progresso che mi immaginavo da
    ragazzo, né l'informatica a servizio della gente.
    Sarò anche stato un illuso ma ormai le
    applicazioni commerciali della tecnologia sono
    sempre più spesso rivolte alla nostra
    profilazione, e tutto perché ormai non si vuole
    pagare più niente, pretendiamo che sia tutto
    gratis e ci stiamo scavando la fossa da
    soli.bel pippotto.. ma purtroppo i PRIMI a VOLER popolare i database profilanti di apple,google,M$ ecc sono proprio gli utenti. Una volta avevi un bel tomtom, mappe su SD e nessuna connessione. Pero' devi poi comprare/crackare le mappe, upparle nella sd, avere lo scatolo.. e poi non sono mai aggiornate blabla. Molto meglio un google maps/un Waze/ecc e preciso super aggiornato sul telefono... e sono io utente che lo rendo cosi' efficiente.. mandando vagonate di dati (proprio volontariamente anche ... )
  • intelligent oni scrive:
    Re: Spazio Culturale
    - Scritto da: ...
    - Scritto da: randa possa

    Ecco il solito winaro che invece di guardare
    il

    cetriolo guarda il

    dito.

    Qui l'argomento è che winsozz fa schifo e che

    apple si fa pagare a peso d'oro i cetrioli,
    cosa

    c'entra google e linux?



    Ci tieni così tanto a vincere il premio trave

    nell'oXXXX?



    Comunque se non siete capaci di cucinarvi le
    rom

    andate nei forum di taglio e cucito, questo
    è
    un

    forum di professionisti che tengono
    altissimo
    il

    livello qualitativo dei contenuti coi loro

    interventi grazie al loro prestigioso
    curriXXXX

    nell'oXXXX.



    Io per esempio mi sono fatto dei maggici
    scripte

    che collego a qualsiasi aggeggio e
    maggicamente

    me lo piallano e mi installano tutte robbe

    aggratisse, perchè il futuro è un mondo

    interconnesso aggratisse dove mangi a sbafo

    aggratisse, dove è la rete che

    decide.



    E adesso aspetto il solito piddino che mi
    attacca

    solo perchè sta sparendo dalla faccia della
    terra

    o è destinato a diventare pecora. Io a questo

    soggetto rispondo: hai perso!! vai di maalox

    rosikone!!!
    Sei un portento.
    Hai perfettamente replicato l'atteggiamento del
    solito
    pandolo.
    Mi associo all'altro commento: 10/10 :)In una cosa aveva ragione, il Panda Rossa... Vi è entrato di brutto nel cervello.
  • Guggio duccio scrive:
    Re: Il solito bug
    - Scritto da: bugunpardiO O
    Che strano, google sa sempre tutto ed i suoi bug
    riguardano spesso la privacy. Nel mio bel
    telefono ho disattivato la geolocalizzazione
    (avevo due opzioni, gps e tramite wifi), dopo un
    aggiornamento del telefono viene fuori la terza
    opzione tramite celle telefoniche, ovviamente
    attivata. Per mesi il mio telefono, senza icone o
    avvisi di alcun tipo, mi ha registrato movimenti
    in macchina verso il lavoro, tragitto a piedi,
    dove ho mangiato, quando son tornato a casa, se e
    dove ho preso aperitivo, dove ho posteggiato ecc
    ecc. Tutto in modo chiaro e trasparente certo,
    infatti se vado nell'apposita pagina di google
    loro te lo fanno vedere cosa hanno registrato,
    solo che la loro speranza è che nessuno guardi,
    nessuno si accorga, passi tutto in
    sordina.
    Aggiungo a questo il fatto che in quasi tutte le
    robe IoT c'è dentro linux in versione bacata e/o
    spiona, stessa cos per android, io direi di
    vedere qualche clausola della gplv3 perché non si
    può dare in mano ad aziende che non gliene frega
    niente della nostra privacy il codice e poi loro
    si vantano di avercelo duro e puro (parlo del
    codice): tutto marketing ed al primo bug gli
    aggiornamenti ce li sogniamo. Mi sono rotto.
    Questo non è né il progresso che mi immaginavo da
    ragazzo, né l'informatica a servizio della gente.
    Sarò anche stato un illuso ma ormai le
    applicazioni commerciali della tecnologia sono
    sempre più spesso rivolte alla nostra
    profilazione, e tutto perché ormai non si vuole
    pagare più niente, pretendiamo che sia tutto
    gratis e ci stiamo scavando la fossa da
    soli.Ben svegliato! Hai capito che siamo svenduti al miglior offerente?E qualora si dovessero pagare (i servizi ) in futuro, questi signori non rinunciano più al misfatto. Il boccone e troppo dolce per disfarsene.
  • Guggio duccio scrive:
    Re: Spazio Culturale
    - Scritto da: randa possa
    Ecco il solito winaro che invece di guardare il
    cetriolo guarda il
    dito.
    Qui l'argomento è che winsozz fa schifo e che
    apple si fa pagare a peso d'oro i cetrioli, cosa
    c'entra google e linux?

    Ci tieni così tanto a vincere il premio trave
    nell'oXXXX?

    Comunque se non siete capaci di cucinarvi le rom
    andate nei forum di taglio e cucito, questo è un
    forum di professionisti che tengono altissimo il
    livello qualitativo dei contenuti coi loro
    interventi grazie al loro prestigioso curriXXXX
    nell'oXXXX.

    Io per esempio mi sono fatto dei maggici scripte
    che collego a qualsiasi aggeggio e maggicamente
    me lo piallano e mi installano tutte robbe
    aggratisse, perchè il futuro è un mondo
    interconnesso aggratisse dove mangi a sbafo
    aggratisse, dove è la rete che
    decide.

    E adesso aspetto il solito piddino che mi attacca
    solo perchè sta sparendo dalla faccia della terra
    o è destinato a diventare pecora. Io a questo
    soggetto rispondo: hai perso!! vai di maalox
    rosikone!!!Bravo gugghione!!
  • ... scrive:
    Re: Spazio Culturale
    - Scritto da: randa possa
    Ecco il solito winaro che invece di guardare il
    cetriolo guarda il
    dito.
    Qui l'argomento è che winsozz fa schifo e che
    apple si fa pagare a peso d'oro i cetrioli, cosa
    c'entra google e linux?

    Ci tieni così tanto a vincere il premio trave
    nell'oXXXX?

    Comunque se non siete capaci di cucinarvi le rom
    andate nei forum di taglio e cucito, questo è un
    forum di professionisti che tengono altissimo il
    livello qualitativo dei contenuti coi loro
    interventi grazie al loro prestigioso curriXXXX
    nell'oXXXX.

    Io per esempio mi sono fatto dei maggici scripte
    che collego a qualsiasi aggeggio e maggicamente
    me lo piallano e mi installano tutte robbe
    aggratisse, perchè il futuro è un mondo
    interconnesso aggratisse dove mangi a sbafo
    aggratisse, dove è la rete che
    decide.

    E adesso aspetto il solito piddino che mi attacca
    solo perchè sta sparendo dalla faccia della terra
    o è destinato a diventare pecora. Io a questo
    soggetto rispondo: hai perso!! vai di maalox
    rosikone!!!Sei un portento.Hai perfettamente replicato l'atteggiamento del solito pandolo.Mi associo all'altro commento: 10/10 :)
  • bugunpardiO O scrive:
    Re: Il solito bug
    - Scritto da: punto panda
    Se non vuoi essere profilato/spiato, avvolgi il
    telefono nella stagnola. Punto. Tutto il resto
    sono
    ciance.Tipica affermazione di chi è asservito e per pigrizia o mancanza di conoscenza tra cosa è infosmog e cosa è profilazione allora accetta tutto così com'è. Libero di farlo ed io libero di avvolgere nella stagnola non tutto il telefono ma solo sistemi ed app che voglio.
  • punto panda scrive:
    Re: Il solito bug
    Se non vuoi essere profilato/spiato, avvolgi il telefono nella stagnola. Punto. Tutto il resto sono ciance.
  • sbagghio scrive:
    Re: Spazio Culturale
    10/10
  • randa possa scrive:
    Spazio Culturale
    Ecco il solito winaro che invece di guardare il cetriolo guarda il dito.Qui l'argomento è che winsozz fa schifo e che apple si fa pagare a peso d'oro i cetrioli, cosa c'entra google e linux? Ci tieni così tanto a vincere il premio trave nell'oXXXX?Comunque se non siete capaci di cucinarvi le rom andate nei forum di taglio e cucito, questo è un forum di professionisti che tengono altissimo il livello qualitativo dei contenuti coi loro interventi grazie al loro prestigioso curriXXXX nell'oXXXX.Io per esempio mi sono fatto dei maggici scripte che collego a qualsiasi aggeggio e maggicamente me lo piallano e mi installano tutte robbe aggratisse, perchè il futuro è un mondo interconnesso aggratisse dove mangi a sbafo aggratisse, dove è la rete che decide.E adesso aspetto il solito piddino che mi attacca solo perchè sta sparendo dalla faccia della terra o è destinato a diventare pecora. Io a questo soggetto rispondo: hai perso!! vai di maalox rosikone!!!
  • bugunpardiO O scrive:
    Il solito bug
    Che strano, google sa sempre tutto ed i suoi bug riguardano spesso la privacy. Nel mio bel telefono ho disattivato la geolocalizzazione (avevo due opzioni, gps e tramite wifi), dopo un aggiornamento del telefono viene fuori la terza opzione tramite celle telefoniche, ovviamente attivata. Per mesi il mio telefono, senza icone o avvisi di alcun tipo, mi ha registrato movimenti in macchina verso il lavoro, tragitto a piedi, dove ho mangiato, quando son tornato a casa, se e dove ho preso aperitivo, dove ho posteggiato ecc ecc. Tutto in modo chiaro e trasparente certo, infatti se vado nell'apposita pagina di google loro te lo fanno vedere cosa hanno registrato, solo che la loro speranza è che nessuno guardi, nessuno si accorga, passi tutto in sordina.Aggiungo a questo il fatto che in quasi tutte le robe IoT c'è dentro linux in versione bacata e/o spiona, stessa cos per android, io direi di vedere qualche clausola della gplv3 perché non si può dare in mano ad aziende che non gliene frega niente della nostra privacy il codice e poi loro si vantano di avercelo duro e puro (parlo del codice): tutto marketing ed al primo bug gli aggiornamenti ce li sogniamo. Mi sono rotto. Questo non è né il progresso che mi immaginavo da ragazzo, né l'informatica a servizio della gente. Sarò anche stato un illuso ma ormai le applicazioni commerciali della tecnologia sono sempre più spesso rivolte alla nostra profilazione, e tutto perché ormai non si vuole pagare più niente, pretendiamo che sia tutto gratis e ci stiamo scavando la fossa da soli.
Chiudi i commenti