Chromecast tiene un fallo que permite extraer la ubicación del usuario
El Chromecast es un dispositivo sencillo que permite hacer streaming al televisor (o monitor) en el que se encuentra conectado desde Android, el navegador web Chrome y Chrome OS, ofreciendo así una interfaz sencilla para enviar la señal de vídeo.
Según el investigador en seguridad Craig Young, que trabaja para Tripwire, el mencionado dispositivo de Google tiene un fallo que puede terminar filtrando la ubicación del usuario. Para ello se utilizan datos extraídos de los dispositivos con los que interacciona el Chromecast, pudiendo determinar la ubicación física con gran precisión.
Young descubrió que podía utilizar el navegador web de un PC para alcanzar el dispositivo como Chromecast o Google Home que estaba conectado al mismo router, consiguiendo recolectar información sobre su propia localización para enviarla mediate el Chromecast. Consiguió ejecutar el ataque de forma remota, aunque para ello la computadora y el dispositivo de Google tuvieron que encontrarse en la misma red. Básicamente, se trata de un abuso de una característica legítima presente en muchos servicios, sistemas y aplicaciones, por lo que hay que tener mucho cuidado a la hora de conceder ciertos permisos.
Entrando en aspectos técnicos, lo que ha hecho el investigador ha sido abrir un sitio web con software maliciosos en su ordenador. Dicho software malicioso es un programa dedicado a detectar el Chromecast que necesariamente tiene que estar conectado al mismo router. En caso de obtener una respuesta positiva en la comprobación, el sitio web envía una petición al Chromecast para extraer los datos de localización. La ventajas tanto de la web como del dispositivo de Google es que ofrecen soporte multipltaforma, por lo que Young ha sido capaz de ejecutar el ataque con éxito a través de Windows, macOS y Linux usando Chrome o Firefox. Lo recopilado puede terminar siendo utilizado en campañas de estafas, pudiendo los timadores hacer los mensajes mucho más convincentes.
Google recopila datos con los que puede mostrar mediante Google Maps la ubicación en la que se encuentra el router, obteniendo además unos resultados muy precisos en caso de conceder el correspondiente permiso al navegador. Ese dato es enviado desde el PC a través Chromecast o Google Home en caso que se lo soliciten. El gigante de Mountain View ha reconocido el problema de privacidad, que será parcheado en el mes de julio.
Fuente: CNet
Via: www.muyseguridad.net