Google的Chromecast和Home产品存在严重的错误,使黑客可以轻松轻松地准确发现用户的位置。该错误使网站只需在后台运行脚本即可收集这些设备用户的敏感位置数据。
但是,这些设备的用户可以放心,因为Google承认存在此类错误,并承诺将通过7月推出的软件更新来解决此问题。
Tripwire的安全公司研究员Craig Young发现了该错误,他说该错误揭示了有关这些设备用户的难以置信的准确信息。最初,当Young与Google联系时,这家科技巨头拒绝解决该错误,并以“状态:不会解决(预期的行为)”答复。
关只要满足一些条件,攻击的性质就非常简单。首先,攻击者需要说服用户单击可能包含在恶意广告甚至推文中的欺诈链接。用户单击链接后,他需要在页面上停留至少一分钟的时间。
相关新闻Supertech尚未“移交” 200个单位,未获得任何超额收益:购房者拉利特·莫迪(Lalit Modi)抨击戈弗雷·飞利浦(Godfrey Philips),此前该公司驳回了他的股权出售要求,称他们为“公然骗子” GWM,将在2020年汽车博览会上首次亮相印度一旦攻击者获得了用户的准确位置,攻击者就可以继续前进并进行多方面的攻击,例如进行网络钓鱼呼叫,通过冒充税务机关的身份进行勒索诈骗等。
扬说:“这意味着广泛的影响,包括可能进行更有效的勒索或勒索活动。”
“威胁发布有破坏性的照片或向朋友和家人暴露一些秘密,可以以此来提高警告的可信度并增加成功的几率。”
整个问题都可归因于Google Home和Chromecast设备的身份验证标准不佳,因为如果它们是通过本地网络建立的,它们几乎不会提示进行安全身份验证。
“我们必须假设,没有凭据的本地网络上任何可访问的数据也可以被敌对对手访问,” Young在博客中说。“这意味着所有请求都必须经过身份验证,所有未经身份验证的响应都应尽可能通用。在我们达到这一点之前,消费者应该尽可能地分开他们的设备,并且要注意与他们所连接的小工具在同一网络中加载了哪些网站或应用程序。”
防范任何此类攻击的一种简单方法是遵循正确的Internet浏览惯例。专家建议用户不要单击任何URL或链接,除非它们来自已知来源。
作为附加的安全层,Young建议使用单独的路由器在附加网络上连接设备。
通过将新路由器的WAN端口连接到现有路由器上的开放LAN端口,在主网络上运行的攻击者代码将不会滥用这些连接的设备。尽管默认情况下这不能阻止从IoT设备到主网络的攻击,但大多数天真的攻击甚至都无法识别还有另一个网络要攻击,他说。
