查看原文
其他

谷歌智能设备被指泄露用户的精确位置信息

Ionut Arghire 代码卫士 2022-04-06

 聚焦源代码安全,网罗国内外最新资讯!

翻译:360代码卫士团队

Tripwire 公司的研究员 Craig Young 表示,谷歌 Home Chromecast 设备遭受新型攻击,可导致用户精确的物理位置信息遭暴露。

研究员发现的这种问题和物联网设备常遇到的两种问题有关:很少使用本地网络上接收到的认证连接以及频繁使用 HTTP 进行配置或控制。由于这些设计缺陷,网站有时候能和网络设备进行交互。

通过“DNS 重新绑定”技术确定设备的确切位置

Young 指出,用于配置 Google Home 和Chromecast 的 Homeapp 通过一个本地 HTTP 服务器执行某些任务,而且直接将某些命令发送至设备,而无需任何认证。这款 app 表明用户应该登录到和目标设备连接的谷歌账户上,但协议层面并未构建认证机制。

安全研究员通过“DNS 重新绑定”技术就能“使用从设备提取的信息以确定设备的确切位置,且准确率惊人。”Young 还发布视频详述了该攻击的情况。

攻击者能够通过 DNS 重新绑定在网站上执行一段代码连接至本地网络并绕过同源策略。该代码指向网站的一个子域,而 DNS 服务器被配置为交替性地响应和攻击者和本地主机都控制的地址。当受害者访问网站时,浏览器解析受攻击者控制的 DNS 服务器,然后转换至本地主机。

Young 指出,“我能够使用 Chrome 或火狐浏览器创建一种基本的端对端攻击,可适用于 Linux、Windows 和 macOS。从通用 URL 开始,攻击首先识别本地子网,然后扫描寻找谷歌设备并注册一个子域 ID 以启动 DNS 重新绑定。页面加载大约一分钟后,我就能在谷歌地图上看到我的房子。”

Young 还指出,即使在隐身模式下,谷歌地图通常也能定位到10米之内的设备。通过分析无线接入点数据和通过利用从选择谷歌定位增强服务的设备中收集的数据进行三角测量就有可能实现。

Young 表示,新发现的攻击能够被用于勒索等目的,比如虚假的 FBI 或 IRS 威胁向朋友和家人发布敏感信息或照片之类的欺诈中。

问题可遭广告商滥用,受影响厂商不止谷歌

另外,由于 DNS 重新绑定攻击并非利用这个 bug 的唯一方式,浏览器扩展和移动应用能够滥用“他们受限的网络访问权限直接查询设备而无需依靠或等待DNS 缓存刷新。”因此,广告商能够获取位置数据并和其它跟踪获得的网络活动将位置数据和现实世界相关联。

Young 表示,“这些问题并不仅限于谷歌设备。多年来我一直在审计嵌入式设备,而这并非我首次发现设备提供无线调查数据或其它设备的唯一详情如序列号等。例如,智能电视机的通常通过一个唯一的屏幕 ID 作为 DIAL 协议的一部分支持类似 Cast 的功能。”

缓解方案

虽然完全将设备断网是最佳的缓解方案,但 Young 表示在如今的联网世界,这种选择可能是不可能实现的。然而,用户可采取某些步骤将暴露风险最小化。

阻止此类攻击的其中一种方法是网络分割,即所有联网设备使用自己的网络,从所有互联网浏览发生的正常家庭网络中分离出来。在网络上增加第二台路由器,尤其是为此类联网设备增加——研究人员指出,这是多数用户的最佳选择。

使用 DNS 重新绑定预防解决方案是阻止此类攻击的另外一种方法。Young 指出,通常用于消费者路由器中的 DNS 软件包括 DNS 重新办绑定保护措施,尽管这种软件并不总是启用状态或者易于启用。部署具有重新定向保护措施的本地 DNS 服务器也是一种方法。

Young 指出,“面对 DNS 重新定向和移动应用,所有运行在本地网络(尤其是 HTTP 服务)上的服务必须按照被直接暴露到网络的情况进行设计。我们必须假设无需凭证可从本地网络访问的任何数据也可遭攻击者访问。这意味着所有请求必须是经认证的而且所有的未认证响应都应尽可能通用。”


关联阅读

研究员利用白噪音黑掉亚马逊 Alexa 等智能设备

一辆恶意汽车即可堵塞美国“智能”街道交叉口


原文链接

https://www.securityweek.com/google-devices-leak-precise-physical-locations-researcher



本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存