高开180%市值超130亿,“宁王”收获一个IPO
高开180%市值超130亿,“宁王”收获一个IPO
携程Q3大“赚”,但还能更“赚”
携程Q3大“赚”,但还能更“赚”
较劲的Q3:乐观者李斌,“史上最强”何小鹏,李想开上法拉利
较劲的Q3:乐观者李斌,“史上最强”何小鹏,李想开上法拉利
捷豹重生改命,LOGO大变样,马斯克:你们还是卖车的吗
捷豹重生改命,LOGO大变样,马斯克:你们还是卖车的吗
立即打开APP
汤圆圆
私信
0

Google Home、Chromecast用户位置数据泄露,可精确至10米

2018-06-19
只要在同一Wi-Fi或有线网络下,任何人都可对其进行远程网络攻击。

【猎云网(微信号:ilieyun)】6月19日报道(编译:罗伯特)

未来几周,谷歌将会修复其最受欢迎两个产品的数据泄露问题。近日一项研究表明,网站可以在后台运行一个简单的脚本,收集到Google Home以及Chromecast用户的精确位置数据。

Craig Young是安全公司Tripwire的一名研究员,他发现了Google Home 以及 Chromecast的这一认证漏洞;后者是谷歌发布的一款智能连接设备,在同一Wifi下,用户可以通过Chromecast将手机或平板播放的视频同步到电视上。

Young说道:“向谷歌设备发送询问附近无线网络的请求,然后把获得的网络列表发送到谷歌的地理位置查找服务,这样就能获得其他用户的位置信息。”

Young补充道:“任何人都可以进行远程网络攻击,只要他们能让那些在同一个Wi-Fi或有线网络下连接着Google Home和Chromecast的用户点开链接即可。这种网络入侵只有一个限制,那就是获得确切位置信息之前,用户需要维持链接打开页面大约1分钟。这种攻击可以隐藏中恶意广告、或是社交推文中。”

一般情况下,网站会保存所有访问者的数字协议地址记录。这些记录可以与地址定位工具结合使用,以收集到访问者所在的区域位置信息。但是这类的地理位置信息并不十分精确。

然而,谷歌的这次数据泄露却与之不一样。谷歌本来就有着一个非常大的数据库,其地理定位数据包含了世界各地无线网络的全局地图,能把每一个独立的Wi-Fi网络匹配连接到相应的物理位置上。有了这些数据,谷歌能够把用户的位置精确到几英尺以内。

Young表示:“如果用IP地址来查找我的定位,那可能地点距离误差会达到2至3英里;但是如果用侵入Home设备的这种方法,误差可能仅为10米。”

除了位置信息被泄露之外,这一漏洞还可能会助长网络钓鱼和勒索攻击等犯罪行为。Young指出,一些诈骗犯可能会利用谷歌的位置数据增加他们骗局的可信度,比如假FBI或国税局诈骗、裸照威胁,等等。

今年5月,Young就他的发现与谷歌进行联系。当时,谷歌的回应是“处理状态:不予处理”。但在与KrebsOnSecurity联系之后,谷歌改变了态度,表示会着手修复这两款设备的数据泄露问题。目前,更新修复计划定于2018年7月中旬。

根据Tripwire公司的说法,数据泄露问题是由于Google Home和Chromecast的认证能力过于薄弱——这两款设备很少会对本地网络接下收到的连接请求进行身份验证。

今年早些时候,KrebsOnSecurity曾发布了一篇关于“加强物联网设备安全”的指导文章。但该文章缺少了一条极具技术性的建议:将物联网设备与本地网络上的其他设备区隔开来,创建一个独立的物联网,与那些你用来上网或是存储文件的设备分开联网。

Young写道:“更为简单的解决方案是,为这些连接设备开设一个新的网络端口。这样一来,当黑客攻击主网时,就不会涉及到这些设备了。”

猎云网APP阅读全文

体验更加

猎云网

微信扫码关注猎云网

  1. 猎云网原创文章未经授权转载必究,如需转载请联系官方微信号进行授权;
  2. 转载时须在文章头部明确注明出处、保留官方微信、作者和原文链接,如:转自猎云网(微信号: lieyunjingxuan )字样;
  3. 猎云网报道中所涉及的融资金额均由创业公司提供,仅供参考,猎云网不对真实性背书。
  4. 联系猎云,请加微信号:jinjilei
猜你喜欢
长按图片可以分享给好友
×