Google a promis un patch correctif visant à corriger une faille révélée plus tôt dans le mois par un chercheur ayant expérimenté avec les fonctionnalités de géolocalisation utilisées dans les chromecast et les Google Home. Comme l’explique Craig Young, chercheur en sécurité au sein de la société TripWire, des attaquants peuvent utiliser un site malveillant afin de forcer ces appareils à révéler leur géolocalisation précise.

Le chercheur a découvert qu’un défaut d’authentification sur ces machines pouvait permettre à un site web de demander à une enceinte connectée Google Home ou à un Chromecast de lui renvoyer la liste de tous les réseaux WiFi captés par l’appareil. En récupérant ces données et en utilisant le service de géolocalisation DNS de Google.

Cette technique décrite par le chercheur se révèle inquiétante, car elle est bien plus précise qu’une simple géolocalisation via l’adresse IP : en utilisant les données relatives aux réseaux WiFi à portée de la machine, Google est capable de géolocaliser un appareil de manière extrêmement précise, à environ 10 mètres près. L’utilisation de données de géolocalisation aussi précise pourrait faciliter la tâche de cybercriminels dans la mise en place de scénario de type social engineering ou d’arnaques sophistiquées.

Google a été prévenu au mois de mai par le chercheur. La société a tout d’abord jugé que le comportement des appareils concernés n’était pas un problème, avant de se raviser : l’éditeur a ainsi promis officiellement un patch correctif, qui est attendu pour le mois de juillet.