在接下来的几周里,Google Chromecast和Google Home世界各地的设备将悄悄地更新以解决严重的安全错误,该错误揭示了用户的位置数据。
安全记者布莱恩·克雷布斯(Brian Krebs)公开报告了这一漏洞,这是Tripwire Security Researcher Craig Young首次披露的。
该问题源于以下事实:Chromecast和Home Devices不需要在本地网络中促进的命令进行身份验证。攻击利用DNS重新装订以与上述设备进行通信,以无害的当地要求。这样,攻击者将获得附近Wi-Fi网络的列表。然后利用Google的位置服务,攻击者可以对用户的精确位置进行三角测量。
攻击者如何通过Chromecast或Google Home获取您的位置数据
下面,克雷布斯解释Google的地理位置数据如何使攻击者有机会抓住用户的位置:
“网站通常保留所有访问者的数字互联网协议(IP)地址的记录,并且这些地址可以与在线地理位置工具结合使用,以收集有关每个访客的故乡或地区的信息。”但是,他说,这种位置数据通常不精确,以至于IP地理位置只能提供有关IP地址的位置的广义想法。
但是,Google自己的地理位置数据并非如此包括全球无线网络的复杂地图,将Wi-Fi网络与物理位置相关联。
“通过这些数据,Google经常可以通过在附近几个映射的Wi-Fi访问点之间进行三角测量,从而经常将用户的位置确定为几英尺(尤其是在人口稠密的区域)之内(尤其是在人口稠密的区域)。”
解决方案什么时候来?
当Young在5月报告Google的脆弱性时,开发人员没有解决该报告,将其标记为“预期行为”。当克雷布斯(Krebs)与Google联系并表示他打算写一份报告时,该公司同意进行补丁。
修复程序将于7月中旬到达。到目前为止,尚无证据表明野外正在使用这种攻击。即便如此,Young仍然说,Things Internet设备应与计算机单独的网络下。
Young说:“这一含义很广泛,包括更有效的勒索或勒索运动的可能性。” “威胁要释放损害照片或向朋友和家人揭露一些秘密的威胁可能会为警告提供信誉并增加成功的几率。”
