News Google: Home und Chromecast verraten Dritten den Standort

[psYcho-edgE]

Home und Chromcast nutzt man doch hauptsächlich stationär. Und dann weiß ich wo wer wohnt. Das Örtliche verrät mir genau das gleiche.

Bis auf die PLZ über XING (Woher zum Geier weiß XING meine PLZ? Sollte ich mal nachprüfen.) sagt das Örtliche absolut null zu mir.

Wie auch, hab keine Festnetznummer

 

[smart-]

Klar machen diese Geräte die Lage noch schlimmer und was technisch ausgenutzt werden kann, wird auch gemacht. Soweit keine Überraschung.
Allerdings hat jeder schon ein Smartphone und ehrlich gesagt ist mir schon bei Google Maps Angst und Bange. Ich habe so ziemlich alles deaktiviert was geht, dennoch schaltet Google von sich aus immer wieder GPS ein und fragt sogar dreist an verschiedenen Standorten ob man in diesem Restaurant war und ob man Bilder dafür hochladen könne. Im Prinzip erstellt Google sowieso vollständige Überwachungsprofile (kann man ja selbst einsehen) und letztlich bringt es einem gar nichts bei Android irgendwas zu deaktivieren, da spätestens bei der nächsten Verbindungsaufnahme zu irgendeinem Netzwerk alle gespeicherten Verbindungsdaten trotzdem übertragen werden.
Ich möchte da mal auf eine sehr wichtige Sache hinweisen, die scheinbar bei Datenschützern irgendwie noch gar nicht so in aller Munde ist:
Wenn man bei Google Maps ein Restaurant anklickt kann man sich ja anschauen an welchem Tag und zu welcher Uhrzeit viele Besucher vor Ort sind. Man muss sich mal klar machen, dass Google da praktisch ohne Einverständnis (ich denke in den AGBs ist es drinne, aber keiner ist sich dessen bewusst) einfach mal speichert wo man wann genau war mit Uhrzeit und sogar das genaue Restaurant. Das ist einfach sehr heftig. Und diese Daten werden ja quasi von allen erhoben. Ich muss aber dazu sagen, leider funktioniert das System nur teilweise gut, da natürlich nur Android Besitzer damit abgefragt werden und jeder der dort ohne Smatphone rein marschiert oder mit Apple, etc... wird da ja nicht mitgeloggt, also selbst wenn Google sagt da ist nix los kann es ganz anders sein, daher finde ich die Funktion sowieso insgesamt sehr unzuverlässig und sogar unnütz, nur manchmal bringt es etwas und man kann Stoßzeiten vermeiden. Aber zu welchem Preis? Und man muss sich auch klar machen, so etwas ist nur die Spitze des Eisbergs. Google weiß längst mehr über seine Nutzer, als teils die eigene Familie. Erschreckend.

 

[fdsonne]

Das Sicherheit nur Geld kostet und dem Unternehmen kein Geld einbringt ist jedoch auch ein unumstößliches Gesetz.

Man sollte aber schon die Kirche bisschen im Dorf lassen... Das ist ein verdammter Stick für den Homegebrauch. Das Teil ist "dumm" - zumindest als ich das Teil das letzte mal in den Fingern hatte. Kann nicht über nen Proxy surfen. Kann nicht in ein WLAN was per WPA(2) Enterprise, also über nen Radius anzumelden ist usw.
Und nimmt man es genau - auch in diesem konkreten Fall ist nicht das Device das eigentliche Problem (das Device sorgt nur für die reißerische Überschrift) - das Problem ist wie so oft der User, der einfach nur stumpf nen Link klickt. Leider hält sich CB mal wieder bei Security Themen äußerst bedeckt mit Details, wenigstens ist die Meldung diesmal nicht völlig falsch (entgegen der bis heute nicht berichtigen VPNFilter News zum Botnet, was HTTPS angeblich entschlüsselt), aber trotzdem ist sie schlecht recherchiert und vom Text her stark übertrieben dargestellt... (Erklärung siehe unten)

@Huby9 Der Angreifer muss sich nicht im selben Netz befinden. Der muss dich nur dazu bringen, den Link zu klicken, während du im selben Netz bist, wie deine Google-Geräte sind. Nur als kleine Klarstellung.

Doch muss er - hier wäre es hilfreich, wenn CB Details hätte benannt anstatt reißerische Überschriften zu bringen und Text, der sich teils selbst widerspricht

Diese "Attacke", wenn man sie denn so nennen möchte (was ich so erst mal nicht tun würde) setzt voraus, dass:
A) ein DNS Rebinding stattfindet (das allein ist ein Thema für sich - CB erwähnt davon leider gar nichts)
B) der Clientbrowser die IP des Clients auf dem er läuft ermittelt ...
C) ... und dann pauschal für diese IP wohl als Class C Netz alle verfügbaren IPs befragt und guckt, ob die Antwort eins der benannten Devices ist
D) wenn ein Google Device gefunden wurde, nutzt man aus, dass auf diesem Gerät keine Authentication Mechanismen existieren um am Ende Standort abzufragen
-> das alles zusammen wird getriggert durch das Anklicken eines Links, welcher Script Code ausführt.


Das funktioniert aber nicht (mehr), wenn sich der Client und das Google Device in unterschiedlichen Subnetzen befindet. Selbst dann nicht, wenn diese geroutet wären, weil ohne weiteres keine Möglichkeit gegeben ist das Netz des Home/Chromecast zu finden (außer nem vollen Scan auf alle privaten IPs vllt - mit IPv6 wirds noch unmöglicher)

Warum ist das für mich keine Attacke?
Das Gerät soll (warum auch immer) offenbar genau diese Funktion haben - und es gibt keinen Schutz, da man bei Google vllt davon ausgeht, dass im lokalen LAN kein abgreifen derartiger Funktionen zu befürchten ist. (was privat auch nicht ganz von der Hand zu weisen wäre)
Das einzige, was hier im Thema "Attacke" ist, ist das DNS Rebindung. Das ist aber auch ein sehr alter Hut - und hat mit dem Google Device gar nix zu tun. Das funktioniert tendenziell auch bei allen anderen Geräten, die irgendwelche Anfragen beantworten.
Spinnt man das mal weiter - es wäre möglich einfach simpel Ton (Werbung lässt grüßen) abzuspielen, so nach dem Motto, "Alexa, mache xyz". Fruchtet wohl bei so manchem auch
Wenn etwas ohne viel Tam Tam einfach IMMER ansprechen soll, gehts halt nur ohne Authentifizierung.


PS: Authentication ohne Verschlüsslung wäre alterntaiv auch so ne Sache, also rein auth bei HTTP? Machts nur bedingt besser - für SSL brauchts wieder bisschen mehr Bumms auf der CPU des Geräts, es braucht Zertifikate, die Keys müssen/sollten gegen unbefugten Access geschützt sein, die Geräte, die mit dem Device über SSL kommunizieren müssen den Zertifikaten vertrauen usw. usf. Also auch alles nix ganz triviales.

Als ich die Überschrift gelesen habe, dachte ich, dass die Geräte einfach so die Informationen weiterleiten. Dann las ich mir den Artikel durch und stellte fest, dass die Überschrift wenig Sinn ergibt.
Falls der Benutzer auf einen Link klickt, kann man schon andere Codes ausführen, dies könnte man auch an anderen Geräten durchführen, um beliebige Informationen auf den jeweiligen Geräten und über der Person abzurufen.

Ja, der Autor hat sich irgendwie darauf eingeschossen hier Google an die Karre zu pinkeln. Nicht dass ich das verhindern wöllte - aber die Aussagen sind wirklich nicht so ganz stimmig.


Am schlimmsten ist der mittlere Teil:
So funktioniert der Angriff

Alles, was für die Abfrage des genauen Standorts der Geräte erforderlich ist, ist dafür zu sorgen, dass die Geräte eine Liste der in der Nähe befindlichen Funknetzwerke an die Google-Geolocation-API senden und das Ergebnis empfangen. Da es sich dabei um eine von Google gewollte Funktionalität handelt, stellt das Verhalten noch nicht einmal eine Sicherheitslücke im engeren Sinne dar.


Zu einer solchen wird sie erst, wenn diese Abfrage von einem Angreifer von außerhalb des betroffenen Netzwerks gestartet wird, um mit den so gewonnenen Daten eigene Ziele zu verfolgen. Young konnte nachweisen, dass eben dieser Angriff recht einfach zu konzipieren ist. Sobald es gelingt, den Nutzer solcher Geräte dazu zu bringen, einen Link anzuklicken und für etwa eine Minute geöffnet zu halten, können die Standort-Daten abgefragt werden. Der angegriffene Nutzer muss sich zu diesem Zeitpunkt nur im selben Netz wie sein Home oder Chromecast befinden.

1) so funktioniert der Angriff eben nicht - da es kein Angriff ist. Der "Angriff" funktioniert (siehe oben) über DNS Rebindung, dem auslesen der lokalen Client-IP + das Scannen des lokalen Netzes (scheinbar unter Annahme es sei ein Class C Netz) auf das Vorhandensein der Google Devices. -> DAS wäre der Angriff.
- Eine Sicherheitslücke wird nicht zu einer SIcherheitslücke, wenn das von außerhalb des "betroffenen Netzwerks" gestartet wird.
- Von außerhalb des betroffenen Netzwerks passiert gar nix, wenn sich der Client nicht im selben Netz wie das Gerät befindet.


Wer mehr wissen will klicke bitte auf die Quelle, die CB in der News angibt und landet auf einer Seite die in ihrem Artikel den "Finder" des Problems verlinkt. In diesem Blogpost stehen dann auch paar mehr Details inkl. der Erklärung WIE der Angriff wirklich funktioniert, wenn man das wirklich Angriff nennen möchte...

 

[Marcel55]

Man muss sich mal klar machen, dass Google da praktisch ohne Einverständnis (ich denke in den AGBs ist es drinne, aber keiner ist sich dessen bewusst) einfach mal speichert wo man wann genau war mit Uhrzeit und sogar das genaue Restaurant. Das ist einfach sehr heftig. Und diese Daten werden ja quasi von allen erhoben.

Die Einverständnis gibt man.

Ich sehe das so, die Standortdaten werden eh gesammelt ob man will oder nicht. Und da das eh passiert können die auch zur Weiterverarbeitung genutzt werden.

Die Vorteile die man dadurch hat sind ja nicht unnütz. Die statistischen Besuchsdaten sind ziemlich akkurat, noch besser sind die Verkehrsdaten die auch auf kleineren Straßen anzeigen ob da gerade was los ist oder nicht.

Da ich gerne leere Straßen und nicht zu volle Lokationen mag, finde ich diese Funktionen äußerst nützlich. Dann muss ich aber auch dabei helfen diese Daten anzulegen. Geben und nehmen.

Wobei es mir auch nach wie vor nicht ganz geheuer ist dass Google mich fragt ob ich nicht den Edeka bewerten will wenn ich gerade im Edeka einkaufen war...

und jeder der dort ohne Smatphone rein marschiert oder mit Apple, etc... wird da ja nicht mitgeloggt, also selbst wenn Google sagt da ist nix los kann es ganz anders sein, daher finde ich die Funktion sowieso insgesamt sehr unzuverlässig und sogar unnütz

Das weiß Google, das wird durch die Algorithmen berücksichtigt.
Außerdem nutzen viele iPhone Nutzer auch Google Dienste die sind dann mit drin
Das ist alles Statistik. Google weiß wie viele von z.B. 1000 Personen diese Daten zur Verfügung stellen und kann das hochrechnen. Klar ist das nie 100% genau aber doch genau genug.

Leider gibt es aktuell kaum einen Weg weg von Google, iOS ist keine Option (ich gebe lieber Google meine Daten als Apple...) und sonst gibt es nichts. Nicht mal Microsoft hat es geschafft eine Alternative zu etablieren. Firefox OS? Ubuntu Phone? Sailfish OS? Bada/Tizen? WebOS? Blackberry OS? Hat alles keine Bedeutung mehr. Höchstens noch auf Fernsehern oder Smartwatches eines Herstellers. Und auch da fasst Android gut Fuß.

Eine große dritte Option neben iOS und Android wäre was tolles. Microsoft war ja auf gutem Weg aber hat das System auch sterben lassen.
Wobei Windows Phone für mich nie einen Anreiz bot dort hin zu wechseln.
Und Android ist Open Source und funktioniert an sich schon mal auch komplett ohne Google. So gesehen sind wir da deutlich besser dran als mit der Vorherrschaft eines closed-source Betriebssystems auf dem PC. Windows 10 macht mir an vielen Punkten mehr Sorgen als Android.

 

[smart-]

Das weiß Google, das wird durch die Algorithmen berücksichtigt.

Die funktionieren aber nicht wirklich. Ich war schon oft im Supermarkt wo vorher dran Stand jetzt wenig los oder weniger als üblich und der Laden war dann brechend voll. Manchmal stimmt was da dran steht, aber darauf verlassen kann man sich eben nicht. Daher empfinde ich es schon als unnütz. Und mal ehrlich, die wenigsten wissen das Sie dafür ne Einverständnis gegeben haben und sind wie du geschockt wenn hinterher steht man solle den Edeka bewerten. Außerdem bleibt es ja nicht bei den Daten, google holt auch deine persönlichen Daten und weiß mehr über dich als deine Familie. Ich finde das schwierig mit dem Nutzen aufzurechnen... langfristig werde ich daher von Google weg gehen und einfach ein eigenes System nutzen.

 

[Marcel55]

Ich war schon oft im Supermarkt wo vorher dran Stand jetzt wenig los oder weniger als üblich und der Laden war dann brechend voll.

Supermärkte sind da ein Ausnahmefall. Besonders rund um den 1. des Monats und dann noch mal um den 15. bekommen die Leute Geld und stürmen dann alle zum Supermarkt weil der Kühlschrank leer ist und am Ende des Monats kein Geld mehr da ist um diesen Zustand auszubessern. Willkommen im ach so reichen Deutschland.

 

[smart-]

Deine Darstellung der Ausnahmefälle kann ich so nicht bestätigen. Gerade solche Spitzen werden zudem eigentlich gut dargestellt. Bei mir betrifft das alle Läden, auch Restaurants, etc... und unabhängig vom Tag, denn gerade mit Unregelmäßigkeiten scheinen die ein Problem zu haben, bei regelmäßigen Sachen wie du das schreibst am 1. oder 15. sind die Spitzen drin, aber wenn mal plötzlich an einem Mittwoch viel mehr als sonst los ist, dann ist das so oft nicht richtig drin und die Infos sind falsch. Es ist eher eine Art Erfahrungswert vergleichbar mit der Wettervorhersage für die nächsten Tage, da stimmt auch dreimal die Hälfte nicht. Ist wie gesagt also eh nur ein Indikator, nicht mehr.

 

[Weyoun]

Na das ich allein das raus finden konnte und das ein Sony Z1 Compact zu Deinem Gerätepark gehört spricht doch nicht grade dafür das Du dich ernsthaft darum bemühst Deinen digitalen Fußabdruck zu vermeiden

Du hast alle meine Postings gelesen? Mein Z1 Compact ist schon einige Zeit defekt und ich habe ein neues Smartphone samt neuem Provider. Außedem: Es gibt einen Unterschied zwischem dem Wissen, was für ein Smartphone man hat und was da so für Daten drauf sind.

Aber wenn Du ernsthaft wert auf Datenschutz legst bau bitte Deinen eigenen Router mit offener Software und schmeiße Deine Fritzbox weg

Lieber eine Fritz!Box, deren Software-Entwicklung in Deutschen Landen stattfindet, als einen Asia-Böller.

Die Welt ist leider aus Glas und wir selbst wählen und verwenden nur diesen Baustoff.



Deswegen tut jeder gut daran sich in das Thema "Erzeugung eines EMP" einzulesen.

Warum soll ich technische Geräte absichtlich schrotten? Es reicht, keine offensichtlichen Wanzen erst zu kaufen.