Google: Home und Chromecast verraten Dritten den Standort

Google-Geräte kennen stets den Standort ihres Benutzers. Das ist in den meisten Fällen erwünscht und wird, obwohl es möglich wäre, zumeist nicht abgeschaltet. Dass diese Geräte den Standort aber gegenüber Dritten preisgeben können, war hingegen nicht bekannt. Genau das tun aber Google Home und Chromecast auf wenige Meter genau.

Es bedurfte erst eines Berichts auf der renommierten Security-Seite KrebsOnSecurity, um Google zu einer Reaktion zu einem Verhalten zu bewegen, das der Sicherheitsingenieur Craig Young während seiner Recherchen zweifelsfrei identifizieren konnte. Young hatte festgestellt, dass sowohl Google Home, der intelligente Lautsprecher aus Mountain View, wie auch der Google Chromecast, die Streaming-Lösung zum Anschluss an das heimische TV, auf Nachfrage erstaunlich genaue Standort-Daten zu liefern bereit waren.

So funktioniert der Angriff

Alles, was für die Abfrage des genauen Standorts der Geräte erforderlich ist, ist dafür zu sorgen, dass die Geräte eine Liste der in der Nähe befindlichen Funknetzwerke an die Google-Geolocation-API senden und das Ergebnis empfangen. Da es sich dabei um eine von Google gewollte Funktionalität handelt, stellt das Verhalten noch nicht einmal eine Sicherheitslücke im engeren Sinne dar.

Zu einer solchen wird sie erst, wenn diese Abfrage von einem Angreifer von außerhalb des betroffenen Netzwerks gestartet wird, um mit den so gewonnenen Daten eigene Ziele zu verfolgen. Young konnte nachweisen, dass eben dieser Angriff recht einfach zu konzipieren ist. Sobald es gelingt, den Nutzer solcher Geräte dazu zu bringen, einen Link anzuklicken und für etwa eine Minute geöffnet zu halten, können die Standort-Daten abgefragt werden. Der angegriffene Nutzer muss sich zu diesem Zeitpunkt nur im selben Netz wie sein Home oder Chromecast befinden.

Derartige Links können in entsprechend präparierten Werbe-Links auf zweifelhaften Websites oder sogar ganz schlicht in einem Tweet untergebracht sein. Potenziell jede Art von Link-Sharing lässt sich zu diesem Zweck missbrauchen.

Standortbestimmung auf wenige Meter genau

Was den Angriff so potent macht, ist die Genauigkeit, mit der der Standort bestimmt werden kann. Zwar könnte in jedem Fall eine Lokalisierung über die IP-Adresse stattfinden. Diese ist jedoch maximal auf ein paar Kilometer genau. Youngs Methode hingegen führte zu Ergebnissen, die konsistent auf rund zehn Meter im Umkreis der betroffenen Geräte genau waren.

Diese hohe Genauigkeit in der Lokalisierung ist Googles Sammeltrieb zu verdanken. Schon seit etwa zehn Jahren sammelt der Suchmaschinenriese Daten zu lokalen Funknetzwerken weltweit und speichert sie in einer Datenbank, um die ungenaue IP-Lokalisation verbessern zu können. Auch Smartphones nutzen diese Datenbank, um die eigene Position unabhängig von oder parallel zu GPS zu bestimmen.

In der Tat besteht das Hauptproblem laut Young damit darin, dass Googles Home- und Chromecast-Geräte im lokalen Netzwerk praktisch keine Authentifizierung von ihren Benutzern fordern. Offenbar geht man in Mountain View davon aus, dass Nutzer in lokalen Netzwerken quasi per Anwesenheit authentifiziert sind.

Google will jetzt doch per Update nachbessern

So verwundert es nicht, dass Google von Youngs Ergebnissen zunächst nur mäßig beeindruckt war und seine diesbezügliche Fehlermeldung mit der Stellungnahme, es handele sich nicht um eine Sicherheitslücke, sondern um erwünschtes Verhalten, beantwortete. Erst als sich KrebsOnSecurity einschaltete, änderten die Kalifornier diese Betrachtungsweise und versprachen ein Update für ihre Geräte innerhalb der nächsten Wochen, so dass die Geräte nicht mehr über einen im selben Netzwerk aufgerufenen Link zur Preisgabe ihrer Position gebracht werden können.