Bild: googleapis.com / GoogleIntelligente Lautsprecher wie Amazons Echo oder Googles Home sind inzwischen auch in Deutschland in vielen Häusern und Wohnungen zu finden. Wie ein Sicherheitsforscher jetzt herausgefunden hat, können die mit dem Internet verbundenen Geräte aber auch dazu benutzt werden, ihre Besitzer ungewollt auszuspähen. Die Angriffsmethode zielt dabei auf den beliebten Lautsprecher Google Home sowie auf den Internet-Stick Chromecast ab, der an den Fernseher angeschlossen werden kann. Mit einem DNS-Rebinding-Angriff gelang es nun Craig Young von der IT-Sicherheitsfirma Tripwire den Standort eines Gerätes und damit mit hoher Wahrscheinlichkeit den Wohnort des Nutzers herauszufinden, ohne dass dieser etwas davon mitbekommt. Dies geschehe zudem mit „erstaunlicher Genauigkeit“, wie Young schreibt.
1. Google Location Service fragt WLAN-Netzwerke in der Umgebung ab
2. Smarte Geräte in gesonderten Heimnetzwerken betreiben
Google Location Service fragt WLAN-Netzwerke in der Umgebung ab
Dem Angreifer muss es demnach gelingen, den Nutzer beim Surfen im Netz auf eine manipulierte Webseite zu locken. Nun wird im Hintergrund Schadsoftware aktiv, die im Heimnetzwerk nach verbundenen Google-Geräten sucht und von diesen speziellen Informationen anfordert. Da die Anfrage vom lokalen Netzwerk kommt, verlangen die Google-Geräte keine zusätzliche Authentifizierung. Anschließend machte sich Young einen weiteren Google-Dienst namens „Location Service“ zunutze. Dieser fragt die vorhandenen Funknetzwerke sowie deren Signalstärke in der Nähe des angegriffenen Gerätes ab. Aus dem Abgleich dieser Daten konnte der Sicherheitsexperte nun bis auf wenige Meter genau den Standpunkt des Gerätes ermitteln.
Das Wissen um einen exakten Standort könnte für Kriminelle sehr nützlich sein, so Young. So könnten diese mit dem Standort-Wissen gezielt Phishing-Mails versenden oder gar Erpressungsversuchen Nachdruck verleihen. Young meldete die Sicherheitslücke bereits im Mai an Googles Sicherheitsteam, das jedoch keinen Handlungsbedarf sah. Erst als sich der bekannte Sicherheitsexperte Brian Krebs einschaltete und auf seinem Blog ebenfalls über die Sicherheitslücke berichtete, wurde Google aktiv. Die Lücke soll nun mit einem Update Mitte Juli geschlossen werden.
Smarte Geräte in gesonderten Heimnetzwerken betreiben
Sicherheitsforscher fordern seit langem, dass Hersteller von smarten Geräten mehr Wert darauf legen sollten, die Privatsphäre von Nutzern zu schützen. Anfragen aus lokalen Netzwerken sollten so beispielsweise nicht einfach als vertrauenswürdig eingestuft und ausgeführt werden. Craig Young rät Besitzern solcher Geräte, nicht nur ein zentrales Heimnetzwerk zu unterhalten, sondern mehrere. So könnten Lautsprecher, Internet-Sticks oder andere smarte Geräte in einem gesondertes WLAN betrieben werden und hätten so ebenfalls die volle Funktionalität – wären jedoch besser vor Sicherheitslecks wie dem Location-Problem geschützt.