全球范围的Google Homes和Chromecast将在未来几周内会悄悄更新,Google已经针对此严重的问题提供补丁。根据Tripwire的安全研究员Craig Young的说法,这些设备有一个漏洞,如果您有Google Homes或Chromecast,攻击者可以找到您的地理位置。
问题在于Google Homes和Chromecast不需要验证执行通过本地网络传来的命令。该攻击使用DNS重新绑定与Google硬件进行会话,使其看起来像本地请求。这样,攻击者就可以获得附近的WiFi网络列表。使用Google的位置服务,附近的网络将解析为物理位置。这比IP地址位置要准确得多,而IP地址位置可能会偏离几英里。
查找到Google Homes和Chromecast设备,黑客只需要一分钟就能返回一个位置。该网址可能会隐藏在广告或其他网络元素中,并且保持打开时间足够长。5月份,当他向谷歌报告缺陷时,开发者最初没有修复就关闭了报告。当安全博客Brian Krebs与Google联系时,Google的某个人意识到这个漏洞可能会有多危险,并开始在补丁上工作。
暂时没有证据表明这种攻击正在黑客攻击利用,但Young表示物联网设备应该与计算机分开安装。谷歌的更新将解决这个问题,但谁知道谷哥 的智能家居设备可能会潜藏哪些其他更严重的漏洞呢?
閱讀更多 互聯網企業安全 的文章
關鍵字: 黑客 内会 Chromecast