Google Home、Chromecast漏洞恐洩露用戶位置

安全研究人員發現，Google Home、Chromecast出現一項驗證漏洞，可能洩露裝置所在位置資訊。Google已經承諾將在7月更新中修補該漏洞。

Tripwire研究人員Craig Young指出，這漏洞出在從本地網路上的HTTP伺服器向Google Home、Chromecast等裝置發出指令時不需要任何驗證機制。因此，只要過DNS重新綁定（rebinding）攻擊，使遠端指令冒充本地指令發向這些裝置，像是查詢鄰近的Wi-Fi子網域。

接著他再使用Google的位置服務來定位裝置實際位置。研究人員指出，透過分析周圍WiFi網路的訊號強度，再配合Google過去從數百萬支手機蒐集而來的Wi-Fi AP分佈圖進行三角定位，即使在沒有GPS 接收器情況下，Google通常可以精確定位到裝置周圍10公尺的位置。相較之下，以IP位址來定位範圍會大到2英哩。

在測試中，研究人員證實，只要向遠端受害者傳送URL，發動DNS重新綁定攻擊。這個URL也可以透過隱藏在網頁廣告或其他Web內容程式碼中。藉此駭客就能從Google Home、Chromecast蒐集並解析出Google裝置所在的實際位置。

研究人員指出，本漏洞帶來極大風險，因為一些冒充警方、國稅局的詐騙行為，或是威脅要公佈不可告人祕密的歹徒，可能以此蒐集到的資訊來增加成功詐騙的機率。

不過Young五月間向Google通報這項漏洞時，Google回覆它並不打算修復這項漏洞。不過在知名安全部落格KrebsonSecurity報導並聯繫Google後，Google改口說將在下一次更新中，修復兩個裝置上的瑕疵，時間預定在2018年7月中。

在此之前，把Google Home或Chromecast斷線是最保險的作法。但如果用戶不可一日沒Google Home，研究人員建議做好網路區隔，像是使用VLAN或防火牆，或是為連網裝置設立專門的路由器。