Un site web spécialement conçu « peut exécuter en arrière-plan un simple script collectant des données de localisation précises sur les personnes disposant d'un appareil Google Home ou Chromecast installé n'importe où sur leur réseau local » expliquent Brian Krebs et Craig Young de Tripwire.

Pour arriver à leur fin, ils utilisent la fonction permettant aux produits Google de scanner les réseaux Wi-Fi aux alentours. « La seule vraie limitation est que le lien doit rester ouvert pendant environ une minute avant que l'attaquant n'obtienne l'emplacement » précisent les chercheurs, vidéo de démonstration à l'appui.

Contrairement à une adresse IP qui ne donne généralement qu'une position assez vague, celle issue des réseaux Wi-Fi est bien plus précise. Dans le cas de la maison d'un des chercheurs, elle passe de 5 km environ à moins de 10 mètres. Cette information peut ensuite être utilisée afin de proposer une publicité toujours plus ciblée, comme nous l'avons déjà expliqué.

Selon Krebs, Google n'avait pas prévu de corriger ce « bug » lorsqu'il a été signalé par Craig Young en mai, précisant qu'il s'agissait d'un « comportement prévu ». La société s'est depuis ravisée et devrait déployer un correctif, probablement mi-juillet.