更多

    Google Home 及 Chromecast 漏洞恐洩露用戶詳細地址

    Mickey Chan
    Mickey Chan
    愛模擬飛行、希望終有一日回到單車上的宅,眼鏡娘控。座右銘: 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    外國網絡安全公司 Tripwire 公布,發現 Google 旗下兩款產品: Google Home 和 Chromecast 存有漏洞,駭客可以透過惡意網站竊取用戶的住址詳細地理資料,危及用戶的個人安全, Google 已承認問題,並預定在 7 月中旬推出修正檔。

    據外國多間網絡安全公司包括 Tripwire 和 Krebs On Security 表示,這個漏洞沿於這兩個設備的認證問題,攻擊者只要在網頁上加入簡單的程式碼,就可以在一分鐘之內取得用戶的詳細住址地理資料。

    網絡安全公司發現駭客可以透過同網絡內的 Google 裝置,竊取用戶精密地理資料。
    網絡安全公司發現駭客可以透過同網絡內的 Google 裝置,竊取用戶精密地理資料。

    閱覽網站一分鐘 地址資料即到手

    受害者假如在 Google Home 或 Chromecast 所在的同一個網絡內,使用電腦透過 Wi-Fi 登入含有惡意程式碼的網站一分鐘左右,駭客就可以取得精確度相當高的地理資料。而這種攻擊程式碼,不單可以直接嵌入惡意網站,甚至可以藏在嵌入式廣告,或嵌入網頁的 Twitter 帖文裡,所以也有機會出現在正常的網站裡,相當可怕。

    Tripwire 先向 Google 接觸報告問題
    Tripwire 先向 Google 接觸報告問題

    一般來說,網站開發人員是可以透過 IP 地址,取得用戶電腦的大槪地理資料,不過這種手法所取得的資料,精密度相當低,大槪只能知道所在區份。不過,以 Google 來說,他們就收集了全球用戶正在使用的 Wi-Fi 網絡的地理位置資料,配合 Google 的地圖情報服務的話,就能取得相當精確的用戶地址資料。

    有人就在 YouTube 上貼出視頻,示範透過 IP 地址加上 Google 地圖情報服務,取得精密地理資料的過程。

    [ot-video][/ot-video]

    由於地址資料頗為詳細,如果騙徒以這些資料來進行恐嚇勒索,又或者電話詐騙,可信性就會大大提高,容易讓人信以為真。本來 Google 早在 5 月就已收到 Tripwire 的報告,不過他們當時未有計劃修正,直到 Krebs On Security 也接觸 Google 之後就表示會修正有關問題,預計會在 7 月中旬推出。

    專家教路:分割網絡減風險

    專家指,要減低這類透過連線裝置來入侵的風險,可以將這些裝置集中到網絡上另一個路由器去,那樣就可以將局域網絡分割開來,減低風險。

    專家教路只要將 Google Home 等連線裝置集中到網絡上另一個無線路由器,就可以大大減低透過這類裝置入侵的風險。
    專家教路只要將 Google Home 等連線裝置集中到網絡上另一個無線路由器,就可以大大減低透過這類裝置入侵的風險。

    您會感興趣的內容

    相關文章