Los Chromecast son uno de los productos más importantes y más vendidos de Google en la actualidad, seguidos de los Google Home, que han crecido en popularidad en varios países del mundo, y que se preparan para llegar a México, España y más países este mismo año. Y para infortunio de los usuarios, se ha descubierto un importante fallo de seguridad que permite obtener datos de los usuarios que utilizan estos dispositivos.
Según Craig Young, investigador de la firma de seguridad Tripwire, descubrió una debilidad de autenticación que filtra información de la ubicación de los usuarios con un nivel de precisión realmente sorprendente, el cual tiene un margen de error de aproximadamente 10 metros.
Esta falla de seguridad está presente en los Chromecast de primer y segunda generación, así como en los Google Home y Home Mini.
El investigador detalla que que dicha vulnerabilidad permite que los atacantes pidan a los dispositivos de Google una lista de redes inalámbricas cercanas para después enviarlas a la lista de geolocalización de Google.
Para ejecutar el ataque, la víctima unicamente debe abrir enlace mientras está conectado a la misma red Wi-Fi o por cable que un dispositivo Google Chromecast o Home. La única limitación real es que el enlace debe permanecer abierto durante aproximadamente un minuto antes de que el atacante tenga una ubicación. El contenido del ataque podría estar incluido en anuncios maliciosos o incluso en un tweet, mencionó el investigador.
El problema es que una vez que los atacantes obtengan la información de la ubicación de los usuarios, es probable que la usen para extorsionar a las víctimas, o lanzar ataques de phishing que parezcan mucho más realistas, facilitando el robo de información sensible de los usuarios.
Google conoce este problema, y ya está trabajando para solucionarlo a través de una actualización que llegará pronto a los Google Home y Chromecast.