Google Home、Chromecast用户位置数据泄露,可精确至10米

猎云网  •  扫码分享


未来几周,谷歌将会修复其最受欢迎两个产品的数据泄露问题。近日一项研究表明,网站可以在后台运行一个简单的脚本,收集到Google Home以及Chromecast用户的精确位置数据。

Craig Young是安全公司Tripwire的一名研究员,他发现了Google Home 以及 Chromecast的这一认证漏洞;后者是谷歌发布的一款智能连接设备,在同一Wifi下,用户可以通过Chromecast将手机或平板播放的视频同步到电视上。

Young说道:“向谷歌设备发送询问附近无线网络的请求,然后把获得的网络列表发送到谷歌的地理位置查找服务,这样就能获得其他用户的位置信息。”

Young补充道:“任何人都可以进行远程网络攻击,只要他们能让那些在同一个Wi-Fi或有线网络下连接着Google Home和Chromecast的用户点开链接即可。这种网络入侵只有一个限制,那就是获得确切位置信息之前,用户需要维持链接打开页面大约1分钟。这种攻击可以隐藏中恶意广告、或是社交推文中。”

一般情况下,网站会保存所有访问者的数字协议地址记录。这些记录可以与地址定位工具结合使用,以收集到访问者所在的区域位置信息。但是这类的地理位置信息并不十分精确。

然而,谷歌的这次数据泄露却与之不一样。谷歌本来就有着一个非常大的数据库,其地理定位数据包含了世界各地无线网络的全局地图,能把每一个独立的Wi-Fi网络匹配连接到相应的物理位置上。有了这些数据,谷歌能够把用户的位置精确到几英尺以内。

Young表示:“如果用IP地址来查找我的定位,那可能地点距离误差会达到2至3英里;但是如果用侵入Home设备的这种方法,误差可能仅为10米。”

除了位置信息被泄露之外,这一漏洞还可能会助长网络钓鱼和勒索攻击等犯罪行为。Young指出,一些诈骗犯可能会利用谷歌的位置数据增加他们骗局的可信度,比如假FBI或国税局诈骗、裸照威胁,等等。

今年5月,Young就他的发现与谷歌进行联系。当时,谷歌的回应是“处理状态:不予处理”。但在与KrebsOnSecurity联系之后,谷歌改变了态度,表示会着手修复这两款设备的数据泄露问题。目前,更新修复计划定于2018年7月中旬。

根据Tripwire公司的说法,数据泄露问题是由于Google Home和Chromecast的认证能力过于薄弱——这两款设备很少会对本地网络接下收到的连接请求进行身份验证。

今年早些时候,KrebsOnSecurity曾发布了一篇关于“加强物联网设备安全”的指导文章。但该文章缺少了一条极具技术性的建议:将物联网设备与本地网络上的其他设备区隔开来,创建一个独立的物联网,与那些你用来上网或是存储文件的设备分开联网。

Young写道:“更为简单的解决方案是,为这些连接设备开设一个新的网络端口。这样一来,当黑客攻击主网时,就不会涉及到这些设备了。”

随意打赏

chromecast iosfacebook泄露用户信息facebook用户数据泄露12306数据泄露百度泄露用户隐私携程泄露用户信息用户位置信息用户数据泄露雅虎数据泄露用户隐私泄露
提交建议
微信扫一扫,分享给好友吧。