O Google está trabalhando para consertar um problema no dispositivo de streaming Chromecast e no alto-falante inteligente Google Home que pode entregar a localização precisa do internauta para qualquer site na web.

E o aparelho nem precisa estar em uso: ele só precisa estar conectado à rede. A possibilidade de realizar esse ataque foi identificada pelo especialista em segurança Craig Young, da empresa de segurança Tripwire.

O Chromecast e o Google Home não bloqueiam solicitações vindas da rede local, pois “supõem” que sistemas da rede local são confiáveis. O problema é que qualquer página da web pode manipular o navegador para enviar solicitações a dispositivos dentro da rede local. Dessa forma, se um computador da rede for usado para abrir um site malicioso, este site pode instruir o computador a enviar uma solicitação ao Chromecast que está em sua rede local.

Em outras palavras, se um celular, notebook, computador ou televisor for usado para abrir um site, e houver um Chromecast ou Google Home na rede local, o site visitado tem condições de determinar o local preciso do visitante, mesmo sem que o internauta autorize o envio das informações de localização.

Para obter a localização do internauta, o site malicioso solicita que o Chromecast instalado na rede da vítima informe a lista de redes Wi-Fi que ele “enxerga”. Essa lista de redes próximas é então enviada ao serviço de geolocalização do Google, que é capaz de determinar a localização de um dispositivo com base nas redes Wi-Fi próximas.

Uma das fontes desses dados são os carros do Street View do Google: além de tirar fotos das cidades, eles também registram a disponibilidade de redes Wi-Fi em cada coordenada de GPS. Aplicativos do Google no celular – como o Google Maps — também coletam essa informação. Ela serve para que os serviços de localização continuem funcionando mesmo quando o celular não tiver acesso ao GPS.

Quando Young comunicou o Google em maio sobre a questão, a empresa inicialmente se recuou a corrigir o problema. Young procurou o jornalista Brian Krebs, que entrou em contato com o Google, e a empresa acabou mudando sua avaliação. A atualização para corrigir o erro deve sair nas próximas semanas.

Para que serve a localização?

A localização de visitantes é usada na web para direcionar conteúdo e publicidade. Da mesma forma, a localização do internauta não permite a realização de golpes por si só, mas ela pode ser uma ferramenta para potencializar outros golpes.

Se o criminoso também conseguir o e-mail da vítima, ele pode enviar um e-mail altamente personalizado a partir da localização da vítima. O site malicioso também pode apresentar conteúdo altamente direcionado para aumentar as chances de que a vítima realize um download malicioso e instale um vírus, por exemplo.

Localização via endereço IP

Todos os sites visitados na web possuem acesso ao endereço de IP do internauta. É possível estimar a localização geográfica do visitante pelo endereço IP, mas essa estimativa tende a ser bastante imprecisa. Em alguns casos, a confiabilidade se restringe ao país, não sendo possível determinar o estado e nem a cidade. Essa precisão depende de como o provedor de acesso do internauta faz a sua distribuição de endereços IP e do que se sabe sobre essas práticas.

A localização via Wi-Fi do Google, por outro lado, usa uma técnica de triangulação, estimando a distância do usuário a partir de todas as redes Wi-Fi presentes, podendo também levar em conta a potência de sinal. Dessa forma, é possível estimar com muito mais precisão a localização do internauta a partir da distância de cada rede disponível.

Se o Google tiver os dados sobre as redes que o Chromecast estiver enxergando, a precisão vai chegar à rua do internauta. Se a qualidade dos dados for maior, a precisarão será ainda maior, podendo chegar a um raio de 10 metros.

FONTE: G1