Cooperate with us < I >

Focusing on product research and development in the field of information security, we are committed to providing professional information security products, solutions, technical advisory services for government, military and other secret-related units, as well as other enterprises and institutions.

Do you want to talk to us about the field of information security and file encryption?

You can fill in the form on the right to let us know your project requirements and we will contact you as soon as possible. Of course, you are also welcome to call us at 400.

You can also contact us through the following channels:

Address: 7th Floor, Zone B, Innovation Building, Phase I Pearl Bay Software Park, Siming District, Xiamen

Tel: 400-666-0170/0592-2565820

Official website: www.tipray.com

Customer service: sales@tipray.com

Market cooperation: market@tipray.com

Quickly submit your requirements ↓

谷歌改口,将修复地理位置信息泄露问题

Release time:2018-06-20 source:搜狐号系信息发布平台 Browse times:1933


雷锋网消息,据外媒美国时间 6 18 日报道,未来几周内,谷歌将修复旗下两款最火爆消费级产品的地理位置信息泄露问题。最新研究显示,只需在后台运行一个简单的脚本,黑客就能从 Google Home Chromecast 电视棒上搜集精确的位置信息。

来自安全公司 Tripwire 的研究者 Craig Young 表示,他发现了谷歌这两款产品上的一个身份验证的弱点,黑客能通过弱点拿到用户极为精确的地理位置信息。原来,他们只需询问谷歌设备附近无线网络的名单,随后将该名单发给谷歌的地理位置查询服务就行。

黑客完全可以进行远程攻击,只要能让受害者连接在相同 Wi-Fi 或有线网络上的产品,打开一个链接就行。”Young 说道。不过,这种攻击方法有其局限性,因为这个至关重要的链接至少要开启一分钟以上,攻击者才能拿到精确的地理位置信息。

一般来说,网站都会记录访问者的数字 IP 地址,如果结合在线地理定位工具使用,就能搜集到访问者所处地理位置的信息。不过,此类地理位置信息在准头上可差得多。

但是,谷歌的地理位置数据可不一样,它们在全球有用大量无线网络名称的综合性地图,每个 Wi-Fi 网络都有对应的物理地址。掌握了这些数据的谷歌,通过三角测量甚至能将用户地位精确到几英尺之内。(如果你不信,就请关掉手机上的定位数据并移除 SIM 卡,这时手机照样能找到你的位置)。

与普通的 IP 地址定位相比,谷歌的位置数据精准度要高出不少。”Young 说。如果现在我定位了自己的 IP 地址,得到的数据只能落在我周边 2 英里之内。如果用家里的 IP 地址进行定位,位置漂移甚至能达到 3 英里。一旦黑客拿走谷歌的位置数据,定位精度就能缩短到设备周边 10 米左右。

我只在三种环境下进行过测试,每次得出的地址都相当精确。”Young 说道。基于 Wi-Fi 的定位主要靠对信号强度、接入点以及用户手机位置(已知)的三角测量得出。

这个弱点除了会曝光 Chromecast Google Home 用户的位置信息,还能让黑客有机可乘,发动钓鱼和勒索攻击。

其实全世界的骗子都差不多,美国的也喜欢冒充 FBI 或国税局来恐吓你,他们甚至还会威胁向你的家人和朋友泄露某些秘密,而精确的地里位置信息会成为骗子的帮凶,增加他们的手的几率。

雷锋网了解到,今年 5 月,Young 向谷歌报告了自己的发现,不过搜索巨头直接回复称,自己不会修复这个问题。但后来它们改了口,称准备推送升级包解决这两款设备的隐私泄露问题。据悉,这个升级包将于今年 7 月 中旬正式推送。

我们必须假定,在本地网络上可以访问的任何无认证数据攻击者也能随意接入。”Young 在博客中写道。这就意味着,所有请求都必须进行验证,而所有未验证的响应都越模糊越好。

如果你不太懂技术,解决该问题最好的方案就是为联网设备专门添加一个路由器。”Young 在博客上写道。只需将新路由器的 WAN 口连上现有路由器的开放 LAN 端口,攻击者漂浮在主网络中的代码就不能随意控制这些联网设备了。虽然这种方案并非终极防御之术,但防范普通的攻击者绰绰有余了,因为他们中大多数人恐怕根本就意识不到自己还得攻克另一个网络。

Recommended news

机票“退改签”诈骗引信息泄露大案 涉多家航空公司

2017-11-13

非法入侵50多家民用航空类公司网站,窃取乘客票务信息,再利用这些信息实施网络诈骗,骗取金额1000多万元。近日,浙...

石家庄政府官网大面积泄露执法人员隐私信息,官方已通知删除

2017-11-29

连日来,澎湃新闻(www.thepaper.cn)报道了全国各地多起政府及高校官网泄露公民个人隐私信息的案例,部分...

网络准入控制的安全域划分为哪些?

2018-10-11

安全域划分及网络改造是系统化安全建设的基础性工作,也是层次化立体化防御以及落实安全管理政策,制定合理安全管理制度的...

美国在线旅行社Orbitz88万客户数据面临泄露风险

2018-03-26

据国外综合新闻平台PhocusWire的报道,美国在线旅游巨头Expedia旗下的在线旅行社O...

调查显示:“天堂文件”泄露于外部黑客入侵

2017-11-09

大多数的天堂文件都来源于离岸法律公司Appleby,最近Appleby确认这些泄露文件来源于针对...



Copyright ©2006-2019 厦门天锐科技股份有限公司

在线
客服

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

Back to top