En un mundo en el que la idea de hackers financieros, ciber-extorsiones y drones asesinos ya no nos parece tan lejana, la seguridad en los dispositivos electrónicos hogareños cada vez parece más necesarias. En este contexto, Google acaba de reconocer un problema en sus dispositivos que podría poner a sus usuarios en peligro de ataques y estafas.

Craig Young, un investigador de seguridad informática, descubrió una debilidad en el proceso de autenticación del Chromecast, el accesorio que enchufamos a los televisores para transmitir Netflix, Spotify, YouTube y juegos, y del asistente de audio Google Home.

El problema es que esa debilidad permite que alguien con malas intenciones pueda identificar con gran precisión dónde se encuentra una persona con su celular.

De la falla al ataque

Un eventual ciberataque de esas características se iniciaría sencillamente si la víctima abriera un link específico durante 1 minuto, cuando se conecta a la red en que está el Chromecast. “Esto podría llegarle a través de una publicidad maliciosa o incluso en un tuit”, advirtió Young al sitio Krebson Security.

Sólo con eso, el atacante podría pedirle al dispositivo de Google que detecte dónde están otros dispositivos cercanos (como tablets, laptops y teléfonos) a los que se pueda conectar a través de Wi-Fi o redes inalámbricas.

Una de las cuestiones que hacen que esto sea más peligroso, es que los servicios de geolocalización de Google son hiperprecisos. La compañía cuenta con un mapa mundial de redes inalámbricas asociadas a lugares reales.

Con esta información, es posible saber dónde está parado el usuario de un dispositivo con un nivel de error de sólo unos pasos.

Young simuló este tipo de ataques varias veces y señaló: “He conseguido de manera consistente ubicaciones que están a máximo 10 metros del dispositivo”.

El Chromecast, el dipositivo de Google para la TV.

El Chromecast, el dipositivo de Google para la TV.

Los usos maliciosos de esta debilidad son de temer. “La implicaciones son amplias e incluyen la posibilidad de chantajes y campañas de extorsión más efectivas”, dijo Young.

Y es fácil imaginarse casos en los que un atacante podría usar la información sobre la ubicación de su víctima para amedrentarla, atemorizarla y engañarla, incluso haciéndose pasar por una agencia de seguridad o espionaje. “Los que hacen amenazas de publicar fotos comprometedoras o de revelar secretos a amigos y familiares podrían usar esto para darle credibilidad a sus amenazas e incrementar sus chances de tener éxito”, comentó el investigador.

La solución

Preocupado, Young le reportó a Google este problema en mayo, pero la compañía desestimó el error y dio por solucionado su reporte. “Estado: No se arreglará (Comportamiento intencional)”, fue el mensaje de Google.

Sin embargo, cuando en estos días el sitio especializado en seguridad informática Krebson Security la contactó sobre el tema, Google dijo que iba a preparar una actualización tanto para el Chromecast como para el Google Home con el objetivo de resolver la falla.

Se espera que la solución esté lista para mediados de julio próximo.

Deja un comentario