Google Home和Chromecast GPS位置泄漏

一位研究人员本月发现了一个安全漏洞,该漏洞关注于Google Home和GPS位置报告。用他的概念证明,在连接到Wi-Fi网络的计算机上打开了URL,该计算机还连接到Google Home或Chromecast设备。如果单击URL,并且网页保持打开状态大约一分钟,则将找到用户的家庭GPS位置,然后加以利用。

Tripwire VERT的 Craig Young在本月初发现了此问题,并在任何公开发布之前将其报告给Google。根据Young的说法,这里的问题是对于连接到目标Wi-Fi网络的任何人,未经身份验证的位置信息视图。Google的所有硬件(包括Google Home和Chromecast设备)的“查找我的电话”功能都允许使用此功能。

只要受害者使用的是Firefox或Chrome,该攻击就可以在Linux,Windows和macOS上运行。“从攻击的通用URL开始,我的攻击首先识别本地子网,然后对其进行扫描以寻找Google设备,并注册一个子域ID,以在受害者身上发起DNS重新绑定,” Young说。“页面加载后大约一分钟,我正在Google地图上看着自己的房子。”

在上方,您将看到实际的攻击。Google Home和Chromecast设备的用户应该担心这种情况,因为它有可能造成进一步的伤害。寻求利用目标个人信息的恶意实体一旦获得其实际住所,便会竭尽全力窃取或破坏一个人的资产和生命。

Young在《关于安全的克雷布斯》(Krebs on Security)文章中说:“这意味着广泛的影响,包括可能进行更有效的敲诈或勒索活动。“威胁发布有破坏性的照片或向朋友和家人暴露一些秘密,可以以此来提高警告的可信度并增加成功的几率。”

减少遭受此类威胁的最简单方法是网络分段。这一切都需要一个辅助路由器。您与个人计算机,移动电话等的Internet连接托管在一台路由器上。您的Smart Home设备,IP摄像机,Smart TV,Chromecast和Google Home已连接到第二个路由器。这种方法仍然只需要一个Internet连接–路由器可使设备分开。

克雷布斯(Krebs)建议Google对有关安全问题的报告作出答复。谷歌显然正在计划“发布更新以解决两台设备的隐私泄漏问题。”该更新建议于2018年7月中旬发布。在此之前,请勇往直前!

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢