外國網絡安全公司 Tripwire 公布,發現 Google 旗下兩款產品: Google Home 和 Chromecast 存有漏洞,駭客可以透過惡意網站竊取用戶的住址詳細地理資料,危及用戶的個人安全, Google 已承認問題,並預定在 7 月中旬推出修正檔。
據外國多間網絡安全公司包括 Tripwire 和 Krebs On Security 表示,這個漏洞沿於這兩個設備的認證問題,攻擊者只要在網頁上加入簡單的程式碼,就可以在一分鐘之內取得用戶的詳細住址地理資料。
閱覽網站一分鐘 地址資料即到手
受害者假如在 Google Home 或 Chromecast 所在的同一個網絡內,使用電腦透過 Wi-Fi 登入含有惡意程式碼的網站一分鐘左右,駭客就可以取得精確度相當高的地理資料。而這種攻擊程式碼,不單可以直接嵌入惡意網站,甚至可以藏在嵌入式廣告,或嵌入網頁的 Twitter 帖文裡,所以也有機會出現在正常的網站裡,相當可怕。
一般來說,網站開發人員是可以透過 IP 地址,取得用戶電腦的大槪地理資料,不過這種手法所取得的資料,精密度相當低,大槪只能知道所在區份。不過,以 Google 來說,他們就收集了全球用戶正在使用的 Wi-Fi 網絡的地理位置資料,配合 Google 的地圖情報服務的話,就能取得相當精確的用戶地址資料。
有人就在 YouTube 上貼出視頻,示範透過 IP 地址加上 Google 地圖情報服務,取得精密地理資料的過程。
[ot-video][/ot-video]
由於地址資料頗為詳細,如果騙徒以這些資料來進行恐嚇勒索,又或者電話詐騙,可信性就會大大提高,容易讓人信以為真。本來 Google 早在 5 月就已收到 Tripwire 的報告,不過他們當時未有計劃修正,直到 Krebs On Security 也接觸 Google 之後就表示會修正有關問題,預計會在 7 月中旬推出。
專家教路:分割網絡減風險
專家指,要減低這類透過連線裝置來入侵的風險,可以將這些裝置集中到網絡上另一個路由器去,那樣就可以將局域網絡分割開來,減低風險。
