Google Home und Google Chromecast verraten Standort des Nutzers, Fix unterwegs


Smart Speaker oder generell vernetzte Geräte sind nichts für ängstliche Nutzer. Wer sich verfolgt oder ausspioniert fühlt, wird in den Geräten nur eine weitere Möglichkeit sehen, dass private Informationen nach außen getragen werden können. Natürlich nicht ganz grundlos, immer wieder hört man von Pannen. Stetig zuhörende Home Minis, eine Alexa, die plötzlich loskichert, das sind alles Geschichten, die bei Skeptikern nicht gerade für einen Sinneswandel sorgen.

Dazu dürfte der heutige „Bug“ auch nicht unbedingt beitragen, es ist nämlich möglich, den Standort eines Nutzers von Google Home oder Google Chromecast zu ermitteln. Als wäre das in Sachen Privatsphäre nicht schon Dämpfer genug, reagierte Google auch nicht direkt bei der ersten Meldung auf den Fehler, sondern erst nachdem sie von KrebsOnSecurity deswegen kontaktiert wurden. Vorher hieß es, das sei erwünschtes Verhalten und der Bug-Report wurde geschlossen.

Der potentielle Angriff ermöglicht es, den genauen Standort eines Home- oder Chromecast-Nutzers via Webseite zu ermitteln (siehe Video). Dabei wird der Standort nicht etwa ungenau über die vom Gerät genutzte IP-Adresse ermittelt, sondern anhand der umgebenen WiFi-Netzwerke. Der Standort des Nutzers kann so sehr genau ermittelt werden. Je dichter der Wert besiedelt ist, desto genauer der Standort.

Aktivieren Sie JavaScript um das Video zu sehen.
Video-Link: https://youtu.be/ESS_D6P26zQ

Für die Ermittlung müssen sich die Geräte allerdings im gleichen Netzwerk befinden wie das Gerät, das eine Angriffsseite besucht. Nutzt man seine Google-Geräte also in einem anderen Netzwerk, kann auch kein Angriff erfolgen. Oder man wartet auf das Update, welches diese Lücke schließen wird. Das soll nämlich Mitte Juli von Google verteilt werden.

Solltet Ihr Euch für die technischen Details des potentiellen Angriffs interessieren, dann sei Euch der Blogpost bei Tripwire empfohlen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

27 Kommentare

  1. Black Mac says:

    Google hat meine Kreditkarten-Angaben und damit auch die Postanschrift. Und jetzt soll ich erzürnt darüber sein, dass der Standort preisgegeben wird? Oder nehmen die Leute ihren Google-Lautsprecher mit auf Geschäftsreise und in die Ferien?

    • Es geht nicht unbedingt darum, dass Google den Standort kennt, sondern dass ein Dritter diesen ermitteln kann. Und es mag sicherlich Leute geben, die das Teil auch mit in den Urlaub nehmen, auch im Hotel möchte man sich vielleicht mal von Musik berieseln lassen oder die Wettervorhersage abfragen. 😉

    • Ich finde der Artikel beschreibt ziemlich eindeutig, dass es dabei nicht um Google geht, sondern eine potenzielle andere Person, die deinen Standort abgreifen könnte.

      Aber selbst wenn es um Google gehen würde verstehe ich deinen Einwand nicht, ich möchte doch selbst entscheiden welche Daten ein Unternehmen von mir erhält. Oder findest du ihnen sollte alles erlaubt sein?

  2. Michel Ehlert says:

    Haha der angreifer mus im selben Netzwerk sein. *lol* selten so gelacht wie gerade.. Also ob mein Nachbar mein Standort ermitteln müsste..

    • Michel, du lieferst mit dem, was du hier so oft loslässt, wirklich Gründe an dir zu zweifeln, es ist doch klar, dass das kein Angriffsszenario wäre, der Artikel spricht davon, dass der PC der anzugreifenden Person im selben Netzwerk wie das Google-Gerät sein muss.

  3. Eben. Viel Lärm um nichts. War das jetzt ein Klickbait oder Stimmungsmache?

  4. „Für die Ermittlung müssen sich die Geräte allerdings im gleichen Netzwerk befinden wie das Gerät, das eine Angriffsseite besucht.“
    Verstehe. Der Angreifer fährt zu mir nach hause und wählt sich dort in mein WLan ein, (für das er kein Passwort hat) und greift meinen Chromecast an, um nach erfolgreichem Hack zu erfahren, dass dieser sich in dem Haus befindet, vor dem er gerade steht.
    Also entweder haben die sogenannten ‚Sicherheitsexperten‘ einen an der Waffel oder mit dem Artikel hier stimmt was nicht.

    • Das hast du falsch verstanden.
      Wenn ich als Hausbesitzer mit meinem PC, das mit dem selben Netzwerk wie mein Google Home verbunden ist, eine Website besuche, die den entsprechenden Angriff startet, dann kann mein Standort ermittelt werden. Es ist nicht der Angreifer selbst, der sich vor mein Haus setzt und von dort den Angriff startet. Der Benutzer muss eine entsprechend präparierte Webseite besuchen.
      Sascha schreibt immerhin, dass das Gerät, das im gleichen Netzwerk wie der Google Home ist, eine Angriffsseite besuchen muss.

    • Ich habe es vielmehr so verstanden, dass du mit einem Gerät (PC, Smartphone o.ä.) im selben Netzwerk wie dein Home oder Chromecast bist und damit eine präparierte Seite besuchst. Der Angreifer kann somit auch aus der Ferne deinen Standort ermitteln.
      Korrigiert mich, wenn ich falsch liege, aber damit wäre diese Meldung weder Panikmache, noch Clickbait.

  5. Sofern man hier überhaupt von einer Sicherheitslücke sprechen mag, ist auch diese m.E. eine von denen, die in der Praxis keine nennenswerte Relevanz hat, weil einfach zu viele Dinge zusammenfallen müssen. Wenn jemand unbefugt mein Wlan benutzt oder gar schon in der Wohnung ist, ist der Standort des Sprachlautsprechers (was auch nicht zwingend dem Standort des Nutzers entspricht) noch das kleinste Problem.

    • Der Angreifer muss sich allerdings gar nicht in deinem W-LAN befinden.

      • Gut, soweit verstanden, aber dennoch ist in dem Fall, dass es jemand schafft, sich auf meinen Rechner zu schalten, die Kenntnis über den Standort des Google Home immer noch das weitaus kleinere Problem.

  6. Wenn eine betrügerische Website den Standort wissen will, dann braucht sie nicht so umständlich Google Home und Chromecast anzapfen und die Wlans in der Umgebung analysieren. Das ist doch viel zu umständlich!

    Es reicht es völlig, den Standort über den Browser abzufragen.
    Dort wird dann ein Fenster eingeblendet:
    „www.heiße-Frauen-in-deiner-Nachbarschaft-de.com will deinen Standort wissen“ – ablehnen – freigeben

    70% werden dann auf freigeben klicken und dauerhaft ihren exakten (!) GPS-Standort mitteilen. Das reicht.

    Und der Rest gibt seine Adresse manuell ins Fenster ein, das erscheint, wenn man ablehnt oder installiert die angebotene nackte-frauen.apk, suesse-katzenfotos.apk oder 3d-camera360.apk. 😉

    • Aber darum geht es doch gar nicht. Ich möchte selber entscheiden können wem ich meine Daten gebe, oder findest du, dass Datenschutz keine Bedeutung mehr haben sollte?

      • Doch. Aber dann melde dich besser bei Google, Facebook, Amazon usw. ab. 😉

        Das mit Abstand Wichtigste ist, dass diese Daten nicht von Regierungen missbraucht werden, um das Wohlverhalten von Bürgern zu kontrollieren und zu bewerten. Siehe China.

        Wenn mir personalisierte Werbung zugeschickt wird, dann ist das für mich eher harmlos. Davon haben dann alle was. Und an mehr haben kommerzielle Firmen idR kein Interesse.

        • Mir scheint, du hast es immer noch nicht verstanden, ich habe mich doch bewusst bei Facebook angemeldet, möchte aber eben nur, dass die diese Daten abgreifen, die ich Ihnen auch bewusst gebe.

          Leider ist nicht zu verhindern, dass Regierungen diese Daten abgreifen aber genauso wenig möchte ich, dass manche Unternehmen Persönlichkeitsprofile erstellen, da geht es um weit mehr als nur auf dich zugeschnittene Werbung.

  7. Wer hat heute noch Angst vor einem „Angreifer“?
    Unter Angreifer verstand man viele Jahre in der Technikwelt, einen bösartigen, kriminellen Hacker, der an die Daten der Ziel-Person kommen wollte um entweder Kreditkarten bzw. Bankdaten auszuspähen, oder um festzustellen das der Angegriffene evtl. im Urlaub ist u. somit das Haus ausgeräumt werden kann. Davor war noch hauptsächlich die Phase einfach nur Viren verbreiten zu wollen, oder SPAM zu verschicken um Naive abzuzocken u. Schaden zuzufügen. Mit den aktuellen Schutzmitteln, dürfte nicht mehr all zu viel passieren, außer man bewegt sich „super-naiv“ im Netz.
    Die heutigen Angreifer sind allerdings von Staatswegen unterwegs mit dem staatlichen Freibrief schnüffeln zu dürfen. OB NSA oder BND oder was auch immer. Zum einen werden Verbrecher, Kriminelle, Terroristen u. Sonstiges aus dem Bereich gesucht. Des weiteren werden so auch Steuerflüchtlinge lokalisiert und andere aus dem Bereich Wirtschaftskriminalität.
    Wer sich also nicht angesprochen fühlt sollte die Angst um Angreifer nicht übertreiben. Alle „Anderen“ sollten sich natürlich lieber einen Alu-Hut aufsetzen. bzw. auf so ein Spielzeug verzichten. Die gemütlichen Zeiten sind für manche leider vorbei. Big Brother is watching you. … und dazu gehören auch FB, Google, Amazon. M$ u.s.w. die im Auftrag des Staates ihre „Pflicht“ erfüllen „müssen“. (Als Erfüllungsgehilfen – ob sie wollen oder nicht).

    • Ich möchte nicht ausspioniert werden, auch wenn ich nichts zu verbergen habe, aber diese Daten werden gesammelt und zwar in großem Umfang.
      Nicht umsonst hat das BVG in der Vergangenheit der Datensammelwut des Staates enge Grenzen gesetzt, weil immer wieder versucht wird, die Grenzen des Datenschutzes und der Freiheitsrechte auszutesten.
      Auch wird von Sachverständigen die Effektivität der Überwachung zur Verhinderung von Kriminalität angezweifelt, die gebetsmühlenartige Wiederholung desselben durch Exekutive und Ministerien scheint aber wohl trotzdem Früchte zu tragen.
      Auch scheinst du bspw. den massiven Einsatz von Ransomware in jüngerer Zeit vergessen zu haben, wobei sehr wohl in großer Zahl auch Privatrechner angegriffen wurden.

      Ich halte einen gesunden Zweifel am staatlichen System und die Hinterfragung der vorgetragenen Ziele und Methoden für eine notwendige und wichtige Eigenschaft des demokratieliebenden Menschen, das hat uns die Geschichte gelehrt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.