Según una nota aparecida en el blog de seguridad Krebs on Security, se espera que Google en las próximas semanas solucione un grave problema de privacidad, ya que hay una fuga de información, que permite dar con la ubicación de los clientes en dos de sus productos de consumo más populares. Una nueva investigación muestra que algunos sitios web pueden ejecutar una secuencia de comandos simple en el fondo que recopila datos de ubicación precisos sobre las personas que tienen un dispositivo Google Home o Chromecast instalado en cualquier lugar de su red local.
Según las declaraciones de Craig Young, un investigador de la firma de seguridad Tripwire, una debilidad del proceso de autenticación, filtra información de ubicación increíblemente precisa sobre los usuarios del Google Home y del Chromecast, ambos increíblemente populares en los Estados Unidos.
Young dijo que el ataque funciona pidiendo al dispositivo de Google una lista de redes inalámbricas cercanas y luego enviando esa lista a los servicios de búsqueda de geolocalización de Google.
Es común que los sitios web mantengan un registro de las direcciones IP de todos los visitantes, y esas direcciones se pueden usar en combinación con herramientas de geolocalización en línea para obtener información sobre el lugar de residencia o región de cada visitante. Pero este tipo de información de ubicación a menudo es bastante impreciso. En muchos casos, la geolocalización IP ofrece solo una idea general de dónde se puede ubicar geográficamente la dirección IP.
Este no suele ser el caso con los datos de geolocalización de Google, que incluyen mapas completos de nombres de redes inalámbricas de todo el mundo, que conectan cada red Wi-Fi individual a una ubicación física correspondiente. Usando esta información, Google muy a menudo puede determinar la ubicación de un usuario a unos pocos pies (particularmente en áreas densamente pobladas), al triangular al usuario entre varios puntos de acceso Wi-Fi cercanos.
De acuerdo a lo declarado por Young:
La diferencia entre esto y una geolocalización IP básica es el nivel de precisión, […]
Por ejemplo, si geolocalizo mi dirección IP en este momento, obtengo una ubicación que está aproximadamente a 2 millas de mi ubicación actual en el trabajo. Para la conexión a Internet de mi casa, la geolocalización IP solo tiene una precisión de aproximadamente 3 millas. Sin embargo, con mi demostración de ataque, he estado consiguiendo ubicaciones constantemente a unos 10 metros del dispositivo.
Además de filtrar la ubicación geográfica precisa de un usuario de Chromecast o Google Home, este error podría ayudar a los estafadores a hacer que los ataques de phishing y extorsión parezcan más realistas. Estafas comunes como falsas advertencias del FBI o el IRS o amenazas de publicar fotos comprometedoras o exponer algún secreto a amigos y familiares podrían abusar de los datos de ubicación de Google para dar credibilidad a las advertencias falsas, señalo el investigador.
Según la publicación de KerbsOnSecurity, cuando Young se comunicó por primera vez con Google en mayo de este año para informarle de sus hallazgos, la compañía respondió cerrando el reporte de bug con un mensaje de “Estado: no se solucionará (comportamiento intencionado)“. Pero después de ser contactado por el conocido blog de seguridad, Google cambió su tono, diciendo que planeaba enviar una actualización para abordar la fuga de privacidad en ambos dispositivos. Actualmente, la actualización está programada para lanzarse a mediados de julio.
No hay evidencia de que esta vulnerabilidad esté siendo explotada actualmente, pero es muy probable que comience a serlo pronto, ya que Google ha programado la actualización para mediados del siguiente mes.