Um pesquisador encontrou uma falha bastante grave de segurança nos dispositivos de Internet da Coisas do Google, o Home e o Chromecast, que permite a um atacante descobrir com bastante precisão a localização de um usuário. De acordo com as informações do site Krebs on Security, a companhia trabalha em uma solução, que deve ser disponibilizada nos próximos dias.

Quem descobriu a falha foi Craig Young, analista da firma de segurança Tripwire. Ele teria informado à Gigante das Buscas sobre o problema em maio, mas um desenvolvedor arquivou o comunicado. Somente depois que outro analista de segurança, Brian Krebs, entrou em contato com o Google a empresa percebeu a gravidade da situação.

Young explicou o problema, que permite ao invasor descobrir remotamente a localização de um usuário utilizando a geolocalização do Google, que é mais precisa do que outros serviços do tipo. E muito mais precisa do que via endereço IP, que só dá uma ideia geral do local de onde a pessoa acessa a internet.

Um invasor pode fazer o ataque totalmente remoto, desde que force a vítima a abrir um link enquanto conectada à mesma rede Wi-Fi ou cabeada em que um Chromecast ou Home esteja ligado. A única limitação é que este link deve permanecer aberto por cerca de um minuto antes de o invasor obter a localização. O conteúdo do ataque pode estar incluído em um site com publicidade maliciosa ou até mesmo um tweet.

O problema é que os dispositivos do Google não precisam de nenhum tipo de autenticação para comandos recebidos da rede local. O ataque usa uma religação de DNS para conversar com o Home ou o Chromecast de modo que pareça uma solicitação de dispositivo local. Assim, o invasor consegue encontrar o seu endereço físico, com nome da rua e número do imóvel, segundo Young.

Para evitar problemas, o ideal é tentar utilizar o Chomecast e o Google Home em uma rede separada do restante de seus dispositivos domésticos, especialmente computador e smartphone. O ideal seria criar uma espécie de intranet para dispositivos IoT, mantendo-os separados dos aparelhos que de fato acessam a internet e guardam arquivos.