據外媒美國時間 6 月 18 日報導,未來幾周內,谷歌將修復旗下兩款最火爆消費級產品的地理位置資訊洩露問題。最新研究顯示,只需在後臺執行一個簡單的指令碼,駭客就能從 Google Home 或 Chromecast 電視棒上搜集精確的位置資訊。
來自安全公司 Tripwire 的研究者 Craig Young 表示,他發現了谷歌這兩款產品上的一個身份驗證的弱點,駭客能透過弱點拿到使用者極為精確的地理位置資訊。原來,他們只需詢問谷歌裝置附近無線網路的名單,隨後將該名單發給谷歌的地理位置查詢服務就行。
“駭客完全可以進行遠端攻擊,只要能讓受害者連線在相同 Wi-Fi 或有線網路上的產品,開啟一個連結就行。”Young 說道。“不過,這種攻擊方法有其侷限性,因為這個至關重要的連結至少要開啟一分鐘以上,攻擊者才能拿到精確的地理位置資訊。”
一般來說,網站都會記錄訪問者的數字 IP 地址,如果結合線上地理定位工具使用,就能蒐集到訪問者所處地理位置的資訊。不過,此類地理位置資訊在準頭上可差得多。
但是,谷歌的地理位置資料可不一樣,它們在全球有用大量無線網路名稱的綜合性地圖,每個 Wi-Fi 網路都有對應的實體地址。掌握了這些資料的谷歌,透過三角測量甚至能將使用者地位精確到幾英尺之內。(如果你不信,就請關掉手機上的定位資料並移除 SIM 卡,這時手機照樣能找到你的位置)。
“與普通的 IP 地址定位相比,谷歌的位置資料精準度要高出不少。”Young 說。“如果現在我定位了自己的 IP 地址,得到的資料只能落在我周邊 2 英里之內。如果用家裡的 IP 地址進行定位,位置漂移甚至能達到 3 英里。一旦駭客拿走谷歌的位置資料,定位精度就能縮短到裝置周邊 10 米左右。”
“我只在三種環境下進行過測試,每次得出的地址都相當精確。”Young 說道。“基於 Wi-Fi 的定位主要靠對訊號強度、接入點以及使用者手機位置(已知)的三角測量得出。”
這個弱點除了會曝光 Chromecast 或 Google Home 使用者的位置資訊,還能讓駭客有機可乘,發動釣魚和勒索攻擊。
其實全世界的騙子都差不多,美國的也喜歡冒充 FBI 或國稅局來恐嚇你,他們甚至還會威脅向你的家人和朋友洩露某些秘密,而精確的地裡位置資訊會成為騙子的幫兇,增加他們的手的機率。
雷鋒網瞭解到,今年 5 月,Young 向谷歌報告了自己的發現,不過搜尋巨頭直接回複稱,自己不會修復這個問題。但後來它們改了口,稱準備推送升級包解決這兩款裝置的隱私洩露問題。據悉,這個升級包將於今年 7 月 中旬正式推送。
“我們必須假定,在本地網路上可以訪問的任何無認證資料攻擊者也能隨意接入。”Young 在部落格中寫道。“這就意味著,所有請求都必須進行驗證,而所有未驗證的響應都越模糊越好。”
“如果你不太懂技術,解決該問題最好的方案就是為聯網裝置專門新增一個路由器。”Young 在部落格上寫道。“只需將新路由器的 WAN 口連上現有路由器的開放 LAN 埠,攻擊者漂浮在主網路中的程式碼就不能隨意控制這些聯網裝置了。雖然這種方案並非終極防禦之術,但防範普通的攻擊者綽綽有餘了,因為他們中大多數人恐怕根本就意識不到自己還得攻克另一個網路。
來源:雷鋒網