Cooperate with us < I >

Focusing on product research and development in the field of information security, we are committed to providing professional information security products, solutions, technical advisory services for government, military and other secret-related units, as well as other enterprises and institutions.

Do you want to talk to us about the field of information security and file encryption?

You can fill in the form on the right to let us know your project requirements and we will contact you as soon as possible. Of course, you are also welcome to call us at 400.

You can also contact us through the following channels:

Address: 7th Floor, Zone B, Innovation Building, Phase I Pearl Bay Software Park, Siming District, Xiamen

Tel: 400-666-0170/0592-2565820

Official website: www.tipray.com

Customer service: sales@tipray.com

Market cooperation: market@tipray.com

Quickly submit your requirements ↓

谷歌改口,将修复地理位置信息泄露问题

Release time:2018-06-20 source:搜狐号系信息发布平台 Browse times:2133


雷锋网消息,据外媒美国时间 6 18 日报道,未来几周内,谷歌将修复旗下两款最火爆消费级产品的地理位置信息泄露问题。最新研究显示,只需在后台运行一个简单的脚本,黑客就能从 Google Home Chromecast 电视棒上搜集精确的位置信息。

来自安全公司 Tripwire 的研究者 Craig Young 表示,他发现了谷歌这两款产品上的一个身份验证的弱点,黑客能通过弱点拿到用户极为精确的地理位置信息。原来,他们只需询问谷歌设备附近无线网络的名单,随后将该名单发给谷歌的地理位置查询服务就行。

黑客完全可以进行远程攻击,只要能让受害者连接在相同 Wi-Fi 或有线网络上的产品,打开一个链接就行。”Young 说道。不过,这种攻击方法有其局限性,因为这个至关重要的链接至少要开启一分钟以上,攻击者才能拿到精确的地理位置信息。

一般来说,网站都会记录访问者的数字 IP 地址,如果结合在线地理定位工具使用,就能搜集到访问者所处地理位置的信息。不过,此类地理位置信息在准头上可差得多。

但是,谷歌的地理位置数据可不一样,它们在全球有用大量无线网络名称的综合性地图,每个 Wi-Fi 网络都有对应的物理地址。掌握了这些数据的谷歌,通过三角测量甚至能将用户地位精确到几英尺之内。(如果你不信,就请关掉手机上的定位数据并移除 SIM 卡,这时手机照样能找到你的位置)。

与普通的 IP 地址定位相比,谷歌的位置数据精准度要高出不少。”Young 说。如果现在我定位了自己的 IP 地址,得到的数据只能落在我周边 2 英里之内。如果用家里的 IP 地址进行定位,位置漂移甚至能达到 3 英里。一旦黑客拿走谷歌的位置数据,定位精度就能缩短到设备周边 10 米左右。

我只在三种环境下进行过测试,每次得出的地址都相当精确。”Young 说道。基于 Wi-Fi 的定位主要靠对信号强度、接入点以及用户手机位置(已知)的三角测量得出。

这个弱点除了会曝光 Chromecast Google Home 用户的位置信息,还能让黑客有机可乘,发动钓鱼和勒索攻击。

其实全世界的骗子都差不多,美国的也喜欢冒充 FBI 或国税局来恐吓你,他们甚至还会威胁向你的家人和朋友泄露某些秘密,而精确的地里位置信息会成为骗子的帮凶,增加他们的手的几率。

雷锋网了解到,今年 5 月,Young 向谷歌报告了自己的发现,不过搜索巨头直接回复称,自己不会修复这个问题。但后来它们改了口,称准备推送升级包解决这两款设备的隐私泄露问题。据悉,这个升级包将于今年 7 月 中旬正式推送。

我们必须假定,在本地网络上可以访问的任何无认证数据攻击者也能随意接入。”Young 在博客中写道。这就意味着,所有请求都必须进行验证,而所有未验证的响应都越模糊越好。

如果你不太懂技术,解决该问题最好的方案就是为联网设备专门添加一个路由器。”Young 在博客上写道。只需将新路由器的 WAN 口连上现有路由器的开放 LAN 端口,攻击者漂浮在主网络中的代码就不能随意控制这些联网设备了。虽然这种方案并非终极防御之术,但防范普通的攻击者绰绰有余了,因为他们中大多数人恐怕根本就意识不到自己还得攻克另一个网络。

Recommended news

洋码头遭遇发展阵痛 数据泄露或拖累盈利预期

2018-08-20

在拿到2017年电商行业唯一一笔投资之后,在跨境直邮领域深耕多年的上海洋码头网络技术有限公司(下称 洋码...

国泰航空发生数据泄露 940万用户数据被窃取

2018-10-26

国泰航空发布安全通告称发现公司部分乘客资料被窃取 国泰航空于23日晚间发布“重要通知:信...

惠普OfficeJet一体式喷墨打印机的传真协议存在严重漏洞

2018-08-15

成千上万的惠普 OfficeJet喷墨打印机在收到恶意传真后遭受攻击,使攻击者得以完全控制目标打印机,并...

科技巨头再暴数据泄露 苹果称数百名中国用户Apple ID被盗

2018-10-18

苹果公司周二表示,“少数”中国用户的Apple ID被盗,账户被盗用进行支付。 早些时候,媒体报道称,...

近70万美国运通印度分公司客户个人详细信息遭泄露

2018-11-12

 据外媒ZDNet报道,近70万名美国运通(Amex)印度分公司客户的个人详细信息在最近被一名安全研究人...



Copyright ©2006-2019 厦门天锐科技股份有限公司

在线
客服

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

Back to top