O erro grave permite que sites coletem sem consentimento a localização precisa de um usuário do Chromecast e do Google Home será corrigido em breve pela Google. A falha foi descoberta pelo pesquisador de segurança Craig Young e será solucionada ao longo das próximas semanas, informa o site KrebsOnSecurity.
A falha em questão se aproveita de uma característica típica desse tipo de equipamento: eles não solicitam autenticação de sites que recebem dados de uma rede local. Com isso, um desenvolvedor mal-intencionado poderia usar esse tipo de permissão para triangular a posição do usuário e descobrir a sua localização exata sem autorização ou ciência dos usuários.
Isso acontece porque a Google mantém um registro preciso de mapas de redes sem fio em todo o planeta, cada uma delas ligada a um IP em específico e à uma localização exata, a fim de aprimorar a geolocalização de apps como Waze e Maps.
Falha permite que Google Home e Chromecast (foto) revelem o endereço exato de um usuário.
Diferente da maioria dos sites, que usa a geolocalização de IP, capaz de oferecer apenas uma ideia aproximada de onde um dispositivo se encontra, a Google utiliza a geolocalização de WiFi. Esse método é bem mais preciso, mas, quando descuidado, pode gerar vulnerabilidades em questão de privacidade.
E é isso que o bug descoberto por Young permite (e ele o demonstra em ação no vídeo acima). O especialista informou a Google sobre o caso e a primeira resposta que recebeu da companhia foi a de que a falha de geolocalização um “comportamento intencional”. Foi apenas quando ele afirmou que escreveria sobre o problema que a empresa se comprometeu a lançar uma correção, que deve ser disponibilizada durante o mês de julho.
Fontes
Categorias