存在洩露地理位置信息的安全問題
全球範圍的Google Homes和Chromecast將在未來幾周內會悄悄更新,Google已經針對此嚴重的問題提供補丁。根據Tripwire的安全研究員Craig Young的說法,這些設備有一個漏洞,如果您有Google Homes或Chromecast,攻擊者可以找到您的地理位置。
問題在於Google Homes和Chromecast不需要驗證執行通過本地網絡傳來的命令。該攻擊使用DNS重新綁定與Google硬件進行會話,使其看起來像本地請求。這樣,攻擊者就可以獲得附近的WiFi網絡列表。使用Google的位置服務,附近的網絡將解析為物理位置。這比IP地址位置要準確得多,而IP地址位置可能會偏離幾英里。
查找到Google Homes和Chromecast設備,黑客只需要一分鐘就能返回一個位置。該網址可能會隱藏在廣告或其他網絡元素中,並且保持打開時間足夠長。5月份,當他向谷歌報告缺陷時,開發者最初沒有修復就關閉了報告。當安全博客Brian Krebs與Google聯繫時,Google的某個人意識到這個漏洞可能會有多危險,並開始在補丁上工作。
暫時沒有證據表明這種攻擊正在黑客攻擊利用,但Young表示物聯網設備應該與計算機分開安裝。谷歌的更新將解決這個問題,但誰知道谷哥 的智能家居設備可能會潛藏哪些其他更嚴重的漏洞呢?
分享到:
閱讀更多 互聯網企業安全 的文章
