Google HomeとChromecastにプライバシーに関する深刻な脆弱性が報告されています。これを利用すると、デバイスが使われている場所を10m以内の精度で特定できるとのことです。
この脆弱性を利用するには、デバイスが使っているのと同じネットワークに接続したスマートフォンやPCなどから、特定のリンクを約1分間開き続けておく必要があります。怪しいリンクを踏まなければ、それほど心配する必要はないのかもしれません。
ちなみにGoogle Homeなどから直接位置情報を読みだしているわけではなく、これらのデバイスが利用するWi-Fiネットワークのリストを読出し、そのリストをもとに三角測量の要領でデバイスの位置を割り出します。
なお、この攻撃ではデバイスの位置情報が分かる以外には、情報を抜かれたりといったことはありません。ただし、この位置情報を利用すると、たとえば警察などを装ってフィッシングサイトへ誘導したりする場合に、情報の信ぴょう性を増すことはできそうです。
Googleは7月中旬に対策のアップデートを実施するとのことです。
(via GSMArena)
(source krebsonsecurity)