Google dans les semaines à venir, devrait réparer une fuite de confidentialité de localisation dans deux de ses produits de consommation les plus populaires. De nouvelles recherches montrent que les sites Web peuvent exécuter un simple script en arrière-plan qui recueille des données de localisation précises sur les personnes qui ont un Accueil Google ou Chromecast périphérique installé n’importe où sur leur réseau local.
Craig Jeuneun chercheur avec une société de sécurité Tripwirea déclaré avoir découvert une faiblesse d’authentification qui divulgue des informations de localisation incroyablement précises sur les utilisateurs de l’enceinte intelligente et de l’assistant domestique Accueil Googleet Chromecastun petit appareil électronique qui simplifie la diffusion d’émissions de télévision, de films et de jeux sur un téléviseur ou un moniteur numérique.
Young a déclaré que l’attaque fonctionne en demandant à l’appareil Google une liste des réseaux sans fil à proximité, puis en envoyant cette liste aux services de recherche de géolocalisation de Google.
« Un attaquant peut être complètement distant tant qu’il peut amener la victime à ouvrir un lien alors qu’elle est connectée au même réseau Wi-Fi ou câblé qu’un Google Chromecast ou un appareil domestique », a déclaré Young à BreachTrace. « La seule véritable limitation est que le lien doit rester ouvert pendant environ une minute avant que l’attaquant n’ait un emplacement. Le contenu de l’attaque pourrait être contenu dans des publicités malveillantes ou même dans un tweet.
Il est courant que les sites Web conservent un enregistrement du nombre Adresse de protocole Internet (IP) de tous les visiteurs, et ces adresses peuvent être utilisées en combinaison avec des outils de géolocalisation en ligne pour glaner des informations sur la ville ou la région de chaque visiteur. Mais ce type d’informations de localisation est souvent assez imprécis. Dans de nombreux cas, la géolocalisation IP n’offre qu’une idée générale de l’emplacement géographique de l’adresse IP.
Ce n’est généralement pas le cas avec les données de géolocalisation de Google, qui incluent cartes complètes des noms de réseaux sans fil dans le monde, reliant chaque réseau Wi-Fi individuel à un emplacement physique correspondant. Armé de ces données, Google peut très souvent déterminer la position d’un utilisateur à quelques mètres près (en particulier dans les zones densément peuplées), en triangulant l’utilisateur entre plusieurs points d’accès Wi-Fi cartographiés à proximité. [Side note: Anyone who’d like to see this in action need only to turn off location data and remove the SIM card from a smart phone and see how well navigation apps like Google’s Waze can still figure out where you are].
« La différence entre cela et une géolocalisation IP de base est le niveau de précision », a déclaré Young. « Par exemple, si je géolocalise mon adresse IP en ce moment, j’obtiens un emplacement à environ 2 miles de mon emplacement actuel au travail. Pour ma connexion Internet à domicile, la géolocalisation IP n’est précise qu’à environ 3 miles. Cependant, avec ma démo d’attaque, j’ai toujours obtenu des emplacements à moins de 10 mètres de l’appareil.
Young a déclaré qu’une démo qu’il a créée (dont une vidéo est ci-dessous) est suffisamment précise pour qu’il puisse dire à peu près à quelle distance se trouve son appareil dans la cuisine d’un autre appareil au sous-sol.
« Je n’ai testé cela que dans trois environnements jusqu’à présent, mais dans chaque cas, l’emplacement correspond à la bonne adresse », a déclaré Young. « La géolocalisation basée sur le Wi-Fi fonctionne en triangulant une position basée sur la force du signal vers les points d’accès Wi-Fi avec des emplacements connus basés sur les rapports des téléphones des personnes. »
Au-delà de la fuite de l’emplacement géographique précis d’un utilisateur de Chromecast ou de Google Home, ce bogue pourrait aider les escrocs à rendre les attaques de phishing et d’extorsion plus réalistes. Des escroqueries courantes telles que de faux avertissements du FBI ou de l’IRS ou des menaces de publier des photos compromettantes ou de révéler un secret à des amis et à la famille pourraient abuser des données de localisation de Google pour donner de la crédibilité aux faux avertissements, note Young.
« Les implications de cela sont assez larges, y compris la possibilité de campagnes de chantage ou d’extorsion plus efficaces », a-t-il déclaré. « Les menaces de publier des photos compromettantes ou d’exposer un secret à des amis et à la famille pourraient l’utiliser pour donner de la crédibilité aux avertissements et augmenter leurs chances de succès. »
Lorsque Young a contacté Google pour la première fois en mai au sujet de ses découvertes, la société a répondu en clôturant son rapport de bogue avec un message « Statut : ne sera pas corrigé (comportement prévu) ». Mais après avoir été contacté par BreachTrace, Google a changé d’avis, indiquant qu’il prévoyait d’envoyer une mise à jour pour remédier à la fuite de confidentialité dans les deux appareils. Actuellement, cette mise à jour devrait être publiée à la mi-juillet 2018.
Selon Tripwire, la fuite des données de localisation provient d’une mauvaise authentification par les appareils Google Home et Chromecast, qui nécessitent rarement une authentification pour les connexions reçues sur un réseau local.
« Nous devons supposer que toutes les données accessibles sur le réseau local sans informations d’identification sont également accessibles aux adversaires hostiles », a écrit Young dans un article de blog sur ses découvertes. « Cela signifie que toutes les demandes doivent être authentifiées et que toutes les réponses non authentifiées doivent être aussi génériques que possible. Jusqu’à ce que nous atteignions ce point, les consommateurs doivent séparer leurs appareils autant que possible et être conscients des sites Web ou des applications qui sont chargés sur le même réseau que leurs gadgets connectés.
Plus tôt cette année, BreachTrace a publié quelques règles de base pour sécuriser vos différents appareils « Internet des objets » (IoT). Il manquait à cette introduction un conseil un peu plus technique, mais qui peut aider à atténuer les problèmes de sécurité ou de confidentialité liés à l’utilisation des systèmes IoT : créer votre propre « Intranet des objets » en séparant les appareils IoT du reste de votre réseau local afin qu’ils résident sur un réseau complètement différent des appareils que vous utilisez pour naviguer sur Internet et stocker des fichiers.
« Une solution beaucoup plus simple consiste à ajouter un autre routeur sur le réseau spécifiquement pour les appareils connectés », a écrit Young. « En connectant le Port WAN du nouveau routeur à une ouverture Port réseau sur le routeur existant, le code de l’attaquant s’exécutant sur le réseau principal n’aura pas la possibilité d’abuser de ces appareils connectés. Bien que cela n’empêche pas par défaut les attaques des appareils IoT vers le réseau principal, il est probable que la plupart des attaques naïves ne reconnaîtraient même pas qu’il existe un autre réseau à attaquer.
Pour en savoir plus sur la configuration d’une solution multi-routeur pour atténuer les menaces des appareils IoT, consultez ce billet détaillé sur le sujet par un chercheur en sécurité et blogueur Steve Gibson.
Mise à jour, 19 juin, 18 h 24 HE : Les problèmes d’authentification découverts par Tripwire ne sont pas propres aux produits Google, selon une recherche approfondie publiée aujourd’hui par l’artiste et programmeur Brannon Dorsey. Vérifier filaire.coml’histoire sur les recherches de Dorsey ici.