Abo
  • IT-Karriere:

DNS Rebinding: Google Home verrät, wo du wohnst

Besitzer eines Google Home oder Chromecast können von Webseiten auf wenige Meter genau lokalisiert werden. Hintergrund des Angriffs ist eine Technik namens DNS Rebinding.

Artikel veröffentlicht am , Hanno Böck
Der Lautsprecher Google Home verrät, wo man sich gerade befindet - und das jedem, der fragt.
Der Lautsprecher Google Home verrät, wo man sich gerade befindet - und das jedem, der fragt. (Bild: NDB Photos, Wikimedia Commons/CC-BY-SA 2.0)

Mangelnde Authentifizierung in Geräten von Google sorgt dafür, dass eine Webseite den Besitzer der Geräte lokalisieren kann. Mit einem DNS-Rebinding-Angriff gelang es Craig Young von der IT-Sicherheitsfirma Tripwire, die Daten aus den Geräten auszulesen. Google sah darin zunächst offenbar kein Problem. Nun soll die Lücke doch behoben werden, allerdings erst im Juli.

Stellenmarkt
  1. Siltronic AG, Freiberg
  2. Forschungszentrum Jülich GmbH, Jülich

Bei Google Home handelt es sich um einen smarten Lautsprecher, bei Chromecast um ein Streaming-Gerät. Beide Geräte werden ins lokale WLAN eingeloggt und können mit Hilfe eines Google-Accounts konfiguriert werden.

Wie Young jedoch herausfand, lassen sich im lokalen Netz über HTTP Befehle an die Geräte ohne jede Authentifizierung schicken. Ein Angreifer muss dafür nur die lokale IP-Adresse herausfinden, aber das lässt sich mit ein paar Tricks erreichen. Damit gelang es Young beispielsweise, von einer Webseite aus ein Video auf dem Chromecast und auf einem angeschlossenen Fernseher abspielen zu lassen.

DNS-Server zeigt abwechselnd auf Server und lokales Gerät

Das allein wäre zwar nervig, aber noch kein großes Sicherheitsrisiko. Doch Young gelang es auch, Daten aus den Geräten auszulesen. Dafür konfigurierte er einen DNS-Server, der einen Host zunächst auf einen vom Angreifer kontrollierten Server zeigen lässt. Von dort wird eine Seite mit Javascript-Code geladen. Anschließend wird die DNS-Konfiguration geändert und der Hostname zeigt auf die lokale IP des jeweiligen Google-Geräts.

Damit laufen der Javascript-Code und das HTTP-Interface des Geräts auf demselben Host - und Daten können ausgelesen werden. Diese Angriffstechnik nennt sich DNS Rebinding.

Positionsbestimmung auf wenige Meter genau

Mit diesem Angriff lassen sich aus den Google-Geräten Geo-Koordinaten auslesen, die eine sehr genaue Bestimmung des Standortes erlauben. Dass Webseiten Geodaten von Nutzern abfragen können, ist nicht ungewöhnlich, aber wenn diese über die normale Geolocation-Funktion von Browsern abgefragt werden, muss ein Nutzer dem explizit zustimmen.

Alternativ können Webseiten versuchen, Nutzer über deren IP-Adresse zu lokalisieren. Damit kann man aber nur eine sehr grobe Positionsbestimmung - im Normalfall im Bereich einiger Kilometer - durchführen.

Die Geodaten von Geräten sind oft extrem genau, da über die Position von bekannten WLAN-Netzen der Standort bestimmt werden kann. In vielen Fällen lässt sich darüber erkennen, in welcher Wohnung sich eine Person gerade aufhält. Es ist naheliegend, dass solche Daten ein hohes Missbrauchspotenzial besitzen und nicht ohne die Zustimmung des Nutzers geteilt werden sollten.

Young meldete diese Sicherheitslücke im Mai an Googles Sicherheitsteam. Dort sah man allerdings kein Problem in diesem Verhalten. Der entsprechende Report wurde als "Won't fix" (wird nicht behoben) geschlossen. Als der Journalist Brian Krebs bei Google nachfragte, änderte man dort offenbar die Meinung. Laut Krebs will Google das Problem nun mit einem Update im Juli beheben.



Anzeige
Top-Angebote
  1. 74,90€ (zzgl. Versand)
  2. 124,90€ (Bestpreis!)
  3. (u. a. Elektrotacker für 67,99€, Akku Stichsäge für 95,99€, Akku Schlagbohrschrauber für...
  4. (Gutscheincode MSPC50) Alternate.de

whitbread 20. Jun 2018

Meine IP-Verortung ist derzeit fast 800km ungenau :-)

whitbread 20. Jun 2018

Ich weiss nicht, ob mein DNS-Cache die TTL-Vorgabe des externen Servers übernimmt, aber...

whitbread 20. Jun 2018

Ich hatte es so verstanden, dass ein präparierter DNS-Server Teil des Systems sein muss...

LinuxMcBook 20. Jun 2018

Aber wieso bist du denn der Meinung, dass du weniger darauf vertrauen kannst, dass...

matok 20. Jun 2018

Was denn nun? Ist der Entwickler das ausführende Organ oder trifft er die...


Folgen Sie uns
       


Linksabbiegen mit autonomen Autos - Bericht

In Braunschweig testet das DLR an zwei Ampeln die Vernetzung von automatisiert fahrenden Autos und der Verkehrsinfrastruktur.

Linksabbiegen mit autonomen Autos - Bericht Video aufrufen
IT-Arbeit: Was fürs Auge
IT-Arbeit
Was fürs Auge

Notebook, Display und Smartphone sind für alle, die in der IT arbeiten, wichtige Werkzeuge. Damit man etwas mit ihnen anfangen kann, ist ein anderes Werkzeug mindestens genauso wichtig: die Augen. Wir geben Tipps, wie man auch als Freiberufler augenschonend arbeiten kann.
Von Björn König

  1. Verdeckte Leiharbeit Wenn die Firma IT-Spezialisten als Fremdpersonal einsetzt
  2. IT-Standorte Wie kann Leipzig Hypezig bleiben?
  3. IT-Fachkräftemangel Arbeit ohne Ende

Hyundai Kona Elektro: Der Ausdauerläufer
Hyundai Kona Elektro
Der Ausdauerläufer

Der Hyundai Kona Elektro begeistert mit Energieeffizienz, Genauigkeit bei der Reichweitenberechnung und umfangreicher technischer Ausstattung. Nur in Sachen Emotionalität und Temperament könnte er etwas nachlegen.
Ein Praxistest von Dirk Kunde

  1. Be emobil Berliner Ladesäulen auf Verbrauchsabrechnung umgestellt
  2. ACM City Miniauto soll als Kleintransporter und Mietwagen Furore machen
  3. Startup Rivian plant elektrochromes Glasdach für seine Elektro-SUVs

Indiegames-Rundschau: Epische ASCII-Abenteuer und erlebnishungrige Astronauten
Indiegames-Rundschau
Epische ASCII-Abenteuer und erlebnishungrige Astronauten

In Stone Story RPG erwacht ASCII-Art zum Leben, die Astronauten in Oxygen Not Included erleben tragikomische Slapstick-Abenteuer, dazu kommen Aufbaustrategie plus Action und Sammelkartenspiele: Golem.de stellt neue Indiegames vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Von Bananen und Astronauten
  2. Indiegames-Rundschau Verloren im Sonnensystem und im Mittelalter
  3. Indiegames-Rundschau Drogen, Schwerter, Roboter-Ritter

    •  /