Google Home und Chromecast Sicherheitslücke gibt exakten Nutzer-Standort preis

Smarte Lautsprecher wie der Google Home sind beliebt. Doch ein Sicherheitsforscher berichtet nun, wie Kriminelle die Geräte aus der Ferne für sich nutzen könnten.

Matthias Kremp

Intelligente Lautsprecher, die auf Sprachbefehle hören, sind mittlerweile in vielen Häusern und Wohnungen zu finden, auch in Deutschland. Doch die mit dem Internet verbundenen Geräte können dazu missbraucht werden, ihre Besitzer auszuspähen.

Ein Sicherheitsforscher hat nun eine Angriffsmethode vorgestellt, die auf den beliebten Lautsprecher Google Home und den Chromecast von Google abzielt. Der Internet-Stick kann an Fernseher angeschlossen werden. Wie Craig Young berichtet, können Angreifer den Standort der Geräte und damit mit hoher Wahrscheinlichkeit den Wohnort eines Nutzers bestimmen, ohne dass der etwas davon mitbekommt - und zwar mit "erstaunlicher Genauigkeit", wie Young schreibt.

Fotostrecke

10  Bilder
Smarter Lautsprecher im Test: "Okay, Google" - und los geht's

Das Wissen um den exakten Standort eines Nutzers könnte für Kriminelle sehr nützlich sein, warnt Young. Angreifer könnten dadurch etwa glaubhafte Phishing-Mails an den Nutzer zu verschicken oder Erpressungsversuchen Nachdruck verleihen.

Sein Angriffsszenario nutzt die Tatsache aus, dass die Google-Geräte sich ins lokale Netzwerk ihrer Besitzer einklinken müssen - und Informationen innerhalb dieses Netzwerks ohne allzu große Sicherheitsvorkehrungen preisgeben.

Young kontaktierte Google, doch er wurde nicht ernst genommen. Erst als er Rückendeckung von dem bekannten Sicherheitsexperten Brian Krebs bekam, der auf seinem Blog ebenfalls über die Sicherheitslücke berichtet, sahen die Google-Mitarbeiter genauer hin. Nutzer müssen dennoch damit leben, dass sie zunächst noch wie von Young beschrieben ausgespäht werden könnten. Denn geschlossen werden soll die Lücke laut Google erst Mitte Juli, berichtet Krebs auf seinem Blog.

Internetbrowser als Einfallstor

Und so funktioniert die Attacke genau: Dem Angreifer muss es gelingen, den Nutzer beim Surfen im Netz auf eine manipulierte Website zu lotsen. Im Hintergrund wird dann Schadsoftware aktiv, die unbemerkt das Heimnetzwerk nach verbundenen Google-Geräten wie etwa dem intelligenten Lautsprecher des Herstellers durchsucht.

Von den entdeckten Geräte werden dann per Schadcode bestimmte Informationen angefordert. Weil die Anfrage über das lokale Netzwerk kommt, fragen die Google-Geräte nicht nach einer zusätzlichen Authentifizierung. Über den Internetbrowser kann der Angreifer so mit im Netzwerk vorhandenen smarten Geräten interagieren.

Wie aber konnte Young den Google-Geräten so genaue Standortdaten entlocken? Er machte sich die Tatsache zunutze, dass ein weiterer Google-Dienst, Location Service genannt, mit sehr hoher Genauigkeit WLANs verorten kann. Young ließ die angegriffenen Google-Geräte eine Liste aller erkannter Funknetzwerke in ihrer Nähe und der wahrgenommenen Signalstärke ausspucken. Aus dem Abgleich aller Daten per Triangulation errechnete er einen bis auf wenige Meter genauen Standpunkt.

Youngs Tipp: Extra-Netzwerk für smarte Geräte

Der Sicherheitsforscher fordert, dass alle Hersteller von smarten Geräten - nicht nur Google - mehr Wert darauf legen, die Privatsphäre ihrer Besitzer zu schützen. Anfragen aus lokalen Netzwerken sollten etwa nicht einfach als vertrauenswürdig eingestuft und ausgeführt werden.

Für Nutzer hat er einen einfachen Tipp: Sie sollten aktuell darauf achten, nicht nur ein zentrales Heimnetzwerk zu unterhalten, sondern mehrere. Wer smarte Geräte daheim hat, sollte für diese beispielsweise ein gesondertes WLAN aufmachen. So kommen Lautsprecher und andere Geräte ins Internet und haben volle Funktionalität, aber sind besser geschützt vor Angriffsszenarien wie dem von Young beschriebenen.

gru

Mehr zum Thema


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.