Google-Geräte verraten wo Sie wohnen

Smarte Lautsprecher, das heißt Geräte, die ihren Besitzern zuhören und ihren Befehlen Folge leisten, werden nicht nur in Deutschland immer beliebter. Allerdings ist es wie mit den meisten „smarten“ Tools: Das Gerät ist nur so klug wie seine Programmierung – und die ist ab und an sehr dumm und im schlimmsten Fall sogar eine potentielle Gefahr. Das wurde gerade erst wieder durch Google Home und Chromecast bewiesen, denn beide Geräte verraten so ziemlich jedem ihren genauen Standort.

Sicherheitsforscher Chris Young hat eine Sicherheitslücke in Google Home und Chromecast gefunden, mit der Cybercriminelle von den Geräten erfahren können wo sie sich befinden – und das bis auf 10 Meter genau. Das ist darum möglich, weil einige der Aufgaben die die beiden Google-Geräte ausführen, unverschlüsselt und ohne eine HTTPS-Verbindung zu nutzen, geschehen.

Wie genau ist das möglich?

Um an die Informationen zu gelangen müssen die Cybergauner eine Webseite aufsetzen, auf der im Hintergrund ein bösartiger Code läuft. Sobald ein potentielles Opfer die Seite betritt, fängt der Code an, nach den beiden Google-Geräten zu suchen. Wenn er sie findet, werden automatisch ein paar sehr spezifische Informationen von Google Home und Chromecast abgefragt.

Wenn es sich dabei nur um die IP-Adresse handeln würde, wäre das alles nur halb so schlimm. Webseiten speichern IP-Adressen eigentlich fast immer ab und ihre Betreiber können verschiedene Anwendungen nutzen, um ungefähr herauszufinden woher die Besucher kommen. Ungefähr, weil die Methode im Normallfall ziemlich ungenau ist. Google hingegen geht einen anderen, viel präziseren Weg um zu erfahren wo sich seine Nutzer befinden: Den Location Service.

Mit dem Location Service kartiert Google überall auf der Welt Netzwerknamen samt genauem Standort. Dank dieser Daten ist es möglich bis auf wenige Meter genau herauszufinden wo sich welcher Nutzer befindet. In seinem Beispiel dazu setzte Young eine Webseite auf, die den Standort der Besucher herausfindet, wenn sie länger als eine Minute auf der Seite bleiben. Schauen Sie sich das Video unten an, es ist ziemlich gruselig.

Bitte aktivieren Sie Personalisierungs-Cookies, um sich dieses Video anzusehen.

Warum ist das gefährlich?

Stellen Sie sich vor jemand mit nicht ganz so guten Absichten würde Zugriff auf Ihre richtige Anschrift haben. Diese Kriminellen könnten das dazu nutzen, um etwaige Phishing-Mails mit Ihrer Adresse zu personalisieren.  Das würde dann dazu führen, dass so manch einer eine Email von einem Anwalt oder einer staatlichen Institution bekommen würde, die dank der passenden richtigen Anschrift sehr echt aussehen könnte.

Was kann man tun, um sich zu schützen?

Zu aller erst einmal gilt es die Sicherheitslücke zu schließen, sobald Google einen Patch dazu herausgibt. Das bedeutet: Auf neue Updates warten und sie sofort herunterladen und installieren.

Ansonsten hat Young auch noch einen anderen Ratschlag parat: Smarte Geräte – inklusive Google Home und Chromecast –  sollten generell in einem eigenen Heimnetzwerk unterkommen. So surft man ganz entspannt online, während Webseiten mit Schadecode vergebens nach den klugen Helfern suchen können.

Dieser Artikel ist auch verfügbar in: Englisch

PR & Social Media Manager @ Avira |Gamer. Geek. Tech addict.