Google Home、Chromecast用户位置数据泄露,可精确至10米
未来几周,谷歌将会修复其最受欢迎两个产品的数据泄露问题。近日一项研究表明,网站可以在后台运行一个简单的脚本,收集到Google Home以及Chromecast用户的精确位置数据。
Craig Young是安全公司Tripwire的一名研究员,他发现了Google Home 以及 Chromecast的这一认证漏洞;后者是谷歌发布的一款智能连接设备,在同一Wifi下,用户可以通过Chromecast将手机或平板播放的视频同步到电视上。
Young说道:“向谷歌设备发送询问附近无线网络的请求,然后把获得的网络列表发送到谷歌的地理位置查找服务,这样就能获得其他用户的位置信息。”
Young补充道:“任何人都可以进行远程网络攻击,只要他们能让那些在同一个Wi-Fi或有线网络下连接着Google Home和Chromecast的用户点开链接即可。这种网络入侵只有一个限制,那就是获得确切位置信息之前,用户需要维持链接打开页面大约1分钟。这种攻击可以隐藏中恶意广告、或是社交推文中。”
一般情况下,网站会保存所有访问者的数字协议地址记录。这些记录可以与地址定位工具结合使用,以收集到访问者所在的区域位置信息。但是这类的地理位置信息并不十分精确。
然而,谷歌的这次数据泄露却与之不一样。谷歌本来就有着一个非常大的数据库,其地理定位数据包含了世界各地无线网络的全局地图,能把每一个独立的Wi-Fi网络匹配连接到相应的物理位置上。有了这些数据,谷歌能够把用户的位置精确到几英尺以内。
Young表示:“如果用IP地址来查找我的定位,那可能地点距离误差会达到2至3英里;但是如果用侵入Home设备的这种方法,误差可能仅为10米。”
除了位置信息被泄露之外,这一漏洞还可能会助长网络钓鱼和勒索攻击等犯罪行为。Young指出,一些诈骗犯可能会利用谷歌的位置数据增加他们骗局的可信度,比如假FBI或国税局诈骗、裸照威胁,等等。
今年5月,Young就他的发现与谷歌进行联系。当时,谷歌的回应是“处理状态:不予处理”。但在与KrebsOnSecurity联系之后,谷歌改变了态度,表示会着手修复这两款设备的数据泄露问题。目前,更新修复计划定于2018年7月中旬。
根据Tripwire公司的说法,数据泄露问题是由于Google Home和Chromecast的认证能力过于薄弱——这两款设备很少会对本地网络接下收到的连接请求进行身份验证。
今年早些时候,KrebsOnSecurity曾发布了一篇关于“加强物联网设备安全”的指导文章。但该文章缺少了一条极具技术性的建议:将物联网设备与本地网络上的其他设备区隔开来,创建一个独立的物联网,与那些你用来上网或是存储文件的设备分开联网。
Young写道:“更为简单的解决方案是,为这些连接设备开设一个新的网络端口。这样一来,当黑客攻击主网时,就不会涉及到这些设备了。”