谷歌将为它的谷歌的家而且Chromecast解决可能允许恶意行为者利用您的智能家居设备获取您的准确信息的漏洞。
这一漏洞是由Tripwire在谷歌Home应用程序中。该应用程序用于配置Home和Chromecast设备。在大多数情况下,应用程序与谷歌的云通信以完成操作。但是,Home应用程序在使用不安全HTTP服务器的本地网络上执行一些操作。
因此,当你更改Chromecast或Home的设备名称,甚至将它们连接到Wi-Fi时,Home应用程序使用的是一种很容易被劫持的未加密方法。事实上,Tripwire的Craig Young就是这么做的。他能够劫持Home应用程序的连接屏幕,并利用它从他的设备中提取位置数据,在10米内识别出他的家。
这怎么可能呢?它利用了HTML 5的定位API,该API可以分析周围Wi-Fi点的信号强度,从而对设备的位置进行三角定位。事实上,杨只花了一分钟就调出了数据,找到了他自己的家。
Young警告说,这个漏洞可能被用于网络钓鱼诈骗,最终进行敲诈或勒索威胁。常见的电话诈骗,比如假装是国税局或联邦调查局,可以利用这些信息为他们的威胁增加可信度。虽然Young使用的方法是DNS重绑定,本质上是劫持浏览器,但他警告说,这也可能被浏览器扩展和移动应用程序在后台利用。
他还警告说,这种漏洞不仅局限于谷歌的设备。在他多年的智能设备审计中,他看到这个问题在其他设备上出现过几次,比如智能电视.谷歌的解决方案可能会为HTTP服务器增加一层安全性,同时还要求在更改设备名称或连接到Wi-Fi之前进行某种身份验证。
