O Google está trabalhando para consertar um problema no dispositivo de streaming Chromecast e no alto-falante inteligente Google Home que pode entregar a localização precisa do internauta para qualquer site na web.

E o aparelho nem precisa estar em uso: ele só precisa estar conectado à rede. A possibilidade de realizar esse ataque foi identificada pelo especialista em segurança Craig Young, da empresa de segurança Tripwire.

O Chromecast e o Google Home não bloqueiam solicitações vindas da rede local, pois “supõem” que sistemas da rede local são confiáveis. O problema é que qualquer página da web pode manipular o navegador para enviar solicitações a dispositivos dentro da rede local. Dessa forma, se um computador da rede for usado para abrir um site malicioso, este site pode instruir o computador a enviar uma solicitação ao Chromecast que está em sua rede local.

Em outras palavras, se um celular, notebook, computador ou televisor for usado para abrir um site, e houver um Chromecast ou Google Home na rede local, o site visitado tem condições de determinar o local preciso do visitante, mesmo sem que o internauta autorize o envio das informações de localização.

Para obter a localização do internauta, o site malicioso solicita que o Chromecast instalado na rede da vítima informe a lista de redes Wi-Fi que ele “enxerga”. Essa lista de redes próximas é então enviada ao serviço de geolocalização do Google, que é capaz de determinar a localização de um dispositivo com base nas redes Wi-Fi próximas.

Uma das fontes desses dados são os carros do Street View do Google: além de tirar fotos das cidades, eles também registram a disponibilidade de redes Wi-Fi em cada coordenada de GPS. Aplicativos do Google no celular – como o Google Maps — também coletam essa informação. Ela serve para que os serviços de localização continuem funcionando mesmo quando o celular não tiver acesso ao GPS.

Porém, quando o possível atacante envia a lista de redes Wi-Fi que o Chromecast enxerga ao serviço de localização do Google, a localização da vítima pode ser determinada com alta precisão — em alguns casos, cerca de 10 metros. Normalmente, uma localização tão precisa só poderia ser determinada com envio de informações de localização do próprio navegador após autorização do internauta.

Quando Young comunicou o Google em maio sobre a questão, a empresa inicialmente se recuou a corrigir o problema. Young procurou o jornalista Brian Krebs, que entrou em contato com o Google, e a empresa acabou mudando sua avaliação. A atualização para corrigir o erro deve sair nas próximas semanas.

Google Home Mini é versão compacta do dispositivo inteligente do Google (Foto: Divulgação)Google Home Mini é versão compacta do dispositivo inteligente do Google (Foto: Divulgação)

Google Home Mini é versão compacta do dispositivo inteligente do Google (Foto: Divulgação)

Para que serve a localização?

A localização de visitantes é usada na web para direcionar conteúdo e publicidade. Da mesma forma, a localização do internauta não permite a realização de golpes por si só, mas ela pode ser uma ferramenta para potencializar outros golpes.

Se o criminoso também conseguir o e-mail da vítima, ele pode enviar um e-mail altamente personalizado a partir da localização da vítima. O site malicioso também pode apresentar conteúdo altamente direcionado para aumentar as chances de que a vítima realize um download malicioso e instale um vírus, por exemplo.

Localização via endereço IP

Todos os sites visitados na web possuem acesso ao endereço de IP do internauta. É possível estimar a localização geográfica do visitante pelo endereço IP, mas essa estimativa tende a ser bastante imprecisa. Em alguns casos, a confiabilidade se restringe ao país, não sendo possível determinar o estado e nem a cidade. Essa precisão depende de como o provedor de acesso do internauta faz a sua distribuição de endereços IP e do que se sabe sobre essas práticas.

A localização via Wi-Fi do Google, por outro lado, usa uma técnica de triangulação, estimando a distância do usuário a partir de todas as redes Wi-Fi presentes, podendo também levar em conta a potência de sinal. Dessa forma, é possível estimar com muito mais precisão a localização do internauta a partir da distância de cada rede disponível.

Se o Google tiver os dados sobre as redes que o Chromecast estiver enxergando, a precisão vai chegar à rua do internauta. Se a qualidade dos dados for maior, a precisarão será ainda maior, podendo chegar a um raio de 10 metros.



DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here