Google Home en de Google Chromecast kunnen de locatiegegevens van gebruikers tot op een paar meter nauwkeurig lekken, zo heeft onderzoeker Craig Young van securitybedrijf Tripwire ontdekt. De apparaten zijn via de Home-app te configureren, die de meeste acties via de Google-cloud uitvoert.

Voor sommige taken wordt echter een lokale http-server gebruikt. Commando's om bijvoorbeeld de naam en wifi-verbinding van het apparaat in te stellen worden zonder enige vorm van authenticatie naar het apparaat verstuurd. Hoewel Googles app stelt dat gebruikers op een Google-account moeten zijn ingelogd dat aan het apparaat is gekoppeld, ontbreekt er op protocolniveau een authenticatiemechanisme.

Een aanvaller kan zo niet alleen het scherm kapen waarop de Chromecast of Google Home is aangesloten, maar ook allerlei gegevens achterhalen waarmee de fysieke locatie van de apparaten is te bepalen. Google beschikt over een uitgebreide database van allerlei wifi-netwerken wereldwijd die aan een fysieke locatie zijn gekoppeld. Door de signaalsterkte van wifi-netwerken in de buurt te analyseren kan Google trianguleren waar een gebruiker zich precies bevindt.

Om de aanval uit te voeren en de gegevens van een Chromecast te achterhalen moet een aanvaller het doelwit eerst een link laten openen. Vervolgens moet de link een minuut in de browser van de gebruiker open blijven voordat de aanvaller de locatiegegevens kan achterhalen. Het is echter mogelijk om de kwaadaardige content in een advertentie of zelfs een tweet te verbergen. Google is van plan om halverwege volgende maand met een update te komen, zo meldt it-journalist Brian Krebs. In onderstaande video wordt de aanval gedemonstreerd.