示意圖,與新聞事件無關。

圖片來源: 

Google

安全研究人員發現,Google Home、Chromecast出現一項驗證漏洞,可能洩露裝置所在位置資訊。Google已經承諾將在7月更新中修補該漏洞。

Tripwire研究人員Craig Young指出,這漏洞出在從本地網路上的HTTP伺服器向Google Home、Chromecast等裝置發出指令時不需要任何驗證機制。因此,只要過DNS重新綁定(rebinding)攻擊,使遠端指令冒充本地指令發向這些裝置,像是查詢鄰近的Wi-Fi子網域。

接著他再使用Google的位置服務來定位裝置實際位置。研究人員指出,透過分析周圍WiFi網路的訊號強度,再配合Google過去從數百萬支手機蒐集而來的Wi-Fi AP分佈圖進行三角定位,即使在沒有GPS 接收器情況下,Google通常可以精確定位到裝置周圍10公尺的位置。相較之下,以IP位址來定位範圍會大到2英哩。

在測試中,研究人員證實,只要向遠端受害者傳送URL,發動DNS重新綁定攻擊。這個URL也可以透過隱藏在網頁廣告或其他Web內容程式碼中。藉此駭客就能從Google Home、Chromecast蒐集並解析出Google裝置所在的實際位置。

研究人員指出,本漏洞帶來極大風險,因為一些冒充警方、國稅局的詐騙行為,或是威脅要公佈不可告人祕密的歹徒,可能以此蒐集到的資訊來增加成功詐騙的機率。

不過Young五月間向Google通報這項漏洞時,Google回覆它並不打算修復這項漏洞。不過在知名安全部落格KrebsonSecurity報導並聯繫Google後,Google改口說將在下一次更新中,修復兩個裝置上的瑕疵,時間預定在2018年7月中。

在此之前,把Google Home或Chromecast斷線是最保險的作法。但如果用戶不可一日沒Google Home,研究人員建議做好網路區隔,像是使用VLAN或防火牆,或是為連網裝置設立專門的路由器。


Advertisement

更多 iThome相關內容