原标题:Google Home、Chromecast漏洞恐泄露用户位置
示意图,与新闻事件无关。
图片来源:安全研究人员发现,Google△Home、Chromecast出现一项验证漏洞,可能泄露装置所在位置资讯。Google已经承诺将在7月更新中修补该漏洞。
Tripwire研究人员Craig△Young指出,这漏洞出在从本地网络上的HTTP伺服器向Google△Home、Chromecast等装置发出指令时不需要任何验证机制。因此,只要过DNS重新绑定(rebinding)攻击,使远端指令冒充本地指令发向这些装置,像是查询邻近的Wi-Fi子网域。
接着他再使用Google的位置服务来定位装置实际位置。研究人员指出,通过分析周围WiFi网络的讯号强度,再配合Google过去从数百万部手机搜集而来的Wi-Fi△AP分布图进行三角定位,即使在没有GPS△接收器情况下,Google通常可以精确定位到装置周围10米的位置。相较之下,以IP位址来定位范围会大到2英哩。
在测试中,研究人员证实,只要向远端受害者传送URL,发动DNS重新绑定攻击。这个URL也可以通过隐藏在网页广告或其他Web内容程式码中。借此骇客就能从Google△Home、Chromecast搜集并解析出Google装置所在的实际位置。
研究人员指出,本漏洞带来极大风险,因为一些冒充警方、国税局的诈骗行为,或是威胁要公布不可告人秘密的歹徒,可能以此搜集到的资讯来增加成功诈骗的机率。
不过Young五月间向Google通报这项漏洞时,Google回复它并不打算修复这项漏洞。不过在知名安全博客KrebsonSecurity报道并联系Google后,Google改口说将在下一次更新中,修复两个装置上的瑕疵,时间预定在2018年7月中。
在此之前,把Google△Home或Chromecast断线是最保险的作法。但如果用户不可一日没Google△Home,研究人员建议做好网络区隔,像是使用VLAN或防火墙,或是为连网装置设立专门的路由器。
相关:
Google 将斥资 5.5 亿美元入股中国京东 | 香港 UNWIRE.HK 玩生活.乐科技
虽然 Google 的主要业务在中国仍然是被拉黑的状态,不过他们却并不是完全忽略中国这个庞大的市场。最近 Google 就宣布将会向京东集团投资 5.5 亿美元,扩充其电子商贸市场。根据他们签订的协议,Google 将会得到 27,
报警位置即时传送 iOS 12 新功能美国推出 | 香港 UNWIRE.HK 玩生活.乐科技
打电话报警求救时,接听的人员往往会要求提供事发地址,不过在紧急关头,报案者可能无法清楚讲出所在位置。早前发表的 iOS 12,Apple 就加入了一项实用又贴心的新功能,当用户打电话报警求助时,iOS 12 会自动将用户
Uber 约车服务突然从 Google 地图消失 | 香港 UNWIRE.HK 玩生活.乐科技
自从 2014 年起,Google Maps 就将汽车共乘服务整合到程式内,用户在搜寻目的地路线时,除了有步行、单车、驾驶和公共交通工具选项,也有 Uber 或其他网约车服务选择。不过日前有外国传媒发现,Uber 无论在 Android
容器资安工具Sysdig Secure 2.0登场,加强漏洞、法遵管理
图片来源: Sysdig 主要锁定容器安全市场的Sysdig,现在该公司旗下的容器资安产品Sysdig△Secure已经释出2.0版,这次产品更新除加强漏洞管理、资安分析外,也强化了资安法遵检查功能。Sysdig表示,在该平台1.0版是以监
中国明年强制新车安装 RFID 识别晶片 可追踪汽车位置 | 香港 UNWIRE.HK 玩生活.乐科技
中国推行“天网工程”等大型监控系统,将会扩展至监控每一部汽车。据报中国正准备建立全国汽车电子识别系统,从 2019 年开始新车上需要安装 RFID 无线射频识别晶片,当局指是为了改善塞车与空气污染问题。根据《华尔