[摘要] 原标题:Google Home、Chromecast漏洞恐泄露用户位置 示意图,与新闻事件无关。 图片来源: Google 安全研究人员发现,Google△Home、Chromecast出现一项验证漏洞,可能泄露装置所在位置资讯。
原标题:Google Home、Chromecast漏洞恐泄露用户位置
示意图,与新闻事件无关。 图片来源: Google 安全研究人员发现,Google△Home、Chromecast出现一项验证漏洞,可能泄露装置所在位置资讯。Google已经承诺将在7月更新中修补该漏洞。Tripwire研究人员Craig△Young指出...
示意图,与新闻事件无关。
图片来源:安全研究人员发现,Google△Home、Chromecast出现一项验证漏洞,可能泄露装置所在位置资讯。Google已经承诺将在7月更新中修补该漏洞。
Tripwire研究人员Craig△Young指出,这漏洞出在从本地网络上的HTTP伺服器向Google△Home、Chromecast等装置发出指令时不需要任何验证机制。因此,只要过DNS重新绑定(rebinding)攻击,使远端指令冒充本地指令发向这些装置,像是查询邻近的Wi-Fi子网域。
接着他再使用Google的位置服务来定位装置实际位置。研究人员指出,通过分析周围WiFi网络的讯号强度,再配合Google过去从数百万部手机搜集而来的Wi-Fi△AP分布图进行三角定位,即使在没有GPS△接收器情况下,Google通常可以精确定位到装置周围10米的位置。相较之下,以IP位址来定位范围会大到2英哩。
在测试中,研究人员证实,只要向远端受害者传送URL,发动DNS重新绑定攻击。这个URL也可以通过隐藏在网页广告或其他Web内容程式码中。借此骇客就能从Google△Home、Chromecast搜集并解析出Google装置所在的实际位置。
研究人员指出,本漏洞带来极大风险,因为一些冒充警方、国税局的诈骗行为,或是威胁要公布不可告人秘密的歹徒,可能以此搜集到的资讯来增加成功诈骗的机率。
不过Young五月间向Google通报这项漏洞时,Google回复它并不打算修复这项漏洞。不过在知名安全博客KrebsonSecurity报道并联系Google后,Google改口说将在下一次更新中,修复两个装置上的瑕疵,时间预定在2018年7月中。
在此之前,把Google△Home或Chromecast断线是最保险的作法。但如果用户不可一日没Google△Home,研究人员建议做好网络区隔,像是使用VLAN或防火墙,或是为连网装置设立专门的路由器。
橙山网(Csnd.net)简评:图片来源: Google 安全研究人员发现,Google△Home、Chromecast出现一项验证漏洞,可能泄露装置所在位置资讯。Google已经承诺将在7月更新中修补该漏洞。Tripwire研究人
网友评论