Cooperate with us < I >

Focusing on product research and development in the field of information security, we are committed to providing professional information security products, solutions, technical advisory services for government, military and other secret-related units, as well as other enterprises and institutions.

Do you want to talk to us about the field of information security and file encryption?

You can fill in the form on the right to let us know your project requirements and we will contact you as soon as possible. Of course, you are also welcome to call us at 400.

You can also contact us through the following channels:

Address: 7th Floor, Zone B, Innovation Building, Phase I Pearl Bay Software Park, Siming District, Xiamen

Tel: 400-666-0170/0592-2565820

Official website: www.tipray.com

Customer service: sales@tipray.com

Market cooperation: market@tipray.com

Quickly submit your requirements ↓

谷歌改口,将修复地理位置信息泄露问题

Release time:2018-06-20 source:搜狐号系信息发布平台 Browse times:2214


雷锋网消息,据外媒美国时间 6 18 日报道,未来几周内,谷歌将修复旗下两款最火爆消费级产品的地理位置信息泄露问题。最新研究显示,只需在后台运行一个简单的脚本,黑客就能从 Google Home Chromecast 电视棒上搜集精确的位置信息。

来自安全公司 Tripwire 的研究者 Craig Young 表示,他发现了谷歌这两款产品上的一个身份验证的弱点,黑客能通过弱点拿到用户极为精确的地理位置信息。原来,他们只需询问谷歌设备附近无线网络的名单,随后将该名单发给谷歌的地理位置查询服务就行。

黑客完全可以进行远程攻击,只要能让受害者连接在相同 Wi-Fi 或有线网络上的产品,打开一个链接就行。”Young 说道。不过,这种攻击方法有其局限性,因为这个至关重要的链接至少要开启一分钟以上,攻击者才能拿到精确的地理位置信息。

一般来说,网站都会记录访问者的数字 IP 地址,如果结合在线地理定位工具使用,就能搜集到访问者所处地理位置的信息。不过,此类地理位置信息在准头上可差得多。

但是,谷歌的地理位置数据可不一样,它们在全球有用大量无线网络名称的综合性地图,每个 Wi-Fi 网络都有对应的物理地址。掌握了这些数据的谷歌,通过三角测量甚至能将用户地位精确到几英尺之内。(如果你不信,就请关掉手机上的定位数据并移除 SIM 卡,这时手机照样能找到你的位置)。

与普通的 IP 地址定位相比,谷歌的位置数据精准度要高出不少。”Young 说。如果现在我定位了自己的 IP 地址,得到的数据只能落在我周边 2 英里之内。如果用家里的 IP 地址进行定位,位置漂移甚至能达到 3 英里。一旦黑客拿走谷歌的位置数据,定位精度就能缩短到设备周边 10 米左右。

我只在三种环境下进行过测试,每次得出的地址都相当精确。”Young 说道。基于 Wi-Fi 的定位主要靠对信号强度、接入点以及用户手机位置(已知)的三角测量得出。

这个弱点除了会曝光 Chromecast Google Home 用户的位置信息,还能让黑客有机可乘,发动钓鱼和勒索攻击。

其实全世界的骗子都差不多,美国的也喜欢冒充 FBI 或国税局来恐吓你,他们甚至还会威胁向你的家人和朋友泄露某些秘密,而精确的地里位置信息会成为骗子的帮凶,增加他们的手的几率。

雷锋网了解到,今年 5 月,Young 向谷歌报告了自己的发现,不过搜索巨头直接回复称,自己不会修复这个问题。但后来它们改了口,称准备推送升级包解决这两款设备的隐私泄露问题。据悉,这个升级包将于今年 7 月 中旬正式推送。

我们必须假定,在本地网络上可以访问的任何无认证数据攻击者也能随意接入。”Young 在博客中写道。这就意味着,所有请求都必须进行验证,而所有未验证的响应都越模糊越好。

如果你不太懂技术,解决该问题最好的方案就是为联网设备专门添加一个路由器。”Young 在博客上写道。只需将新路由器的 WAN 口连上现有路由器的开放 LAN 端口,攻击者漂浮在主网络中的代码就不能随意控制这些联网设备了。虽然这种方案并非终极防御之术,但防范普通的攻击者绰绰有余了,因为他们中大多数人恐怕根本就意识不到自己还得攻克另一个网络。

Recommended news

17家网站用户信息遭黑客暴力破解

2017-12-19

12月19日讯 英国一名25岁的男子(名为Grant West)上周承认对17个网站发起暴力破解攻击,窃取用户信息...

20万份Abbyy客户数据泄露或波及大众、德勤、麦当劳等企业

2018-09-04

安全研究人员 Bob Diachenko 8月19日在亚马逊 AWS 云平台上发现一个大小为142GB的暴露数据库...

数据泄露红色警报 | 一百多家汽车厂商机密数据曝光,特斯拉通用大众丰田都中招

2018-07-23

据多家外媒报道,7 月初,来自 UpGuard 安全团队的研究员 Chris Vickery 在网上发现了汽车供应...

西班牙电信(Telefónica)因一个漏洞暴露了数百万用户的完整个人数据

2018-07-19

据El Espanol报道,西班牙电信(Telefónica)在7月16日凌晨被西班牙消费者协会FA...

特斯拉起诉前员工盗取并泄露公司内部数据

2018-06-21

本周三,据美国内华达州联邦法庭公布的诉讼文件显示,特斯拉起诉了一名前员工,称其盗取了该公司的商业机密并向第三方泄露...

Copyright ©2006-2019 厦门天锐科技股份有限公司

在线
客服

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

Back to top