谷歌智能設備被指泄露用戶的精確位置信息

GIF

聚焦源代碼安全，網羅國內外最新資訊！

翻譯：360代碼衛士團隊

Tripwire公司的研究員Craig Young表示，谷歌Home和Chromecast設備遭受新型攻擊，可導致用戶精確的物理位置信息遭暴露。

研究員發現的這種問題和物聯網設備常遇到的兩種問題有關：很少使用本地網路上接收到的認證連接以及頻繁使用HTTP進行配置或控制。由於這些設計缺陷，網站有時候能和網路設備進行交互。

通過「DNS 重新綁定」技術確定設備的確切位置

Young指出，用於配置Google Home和Chromecast的Homeapp通過一個本地HTTP伺服器執行某些任務，而且直接將某些命令發送至設備，而無需任何認證。這款app表明用戶應該登錄到和目標設備連接的谷歌賬戶上，但協議層面並未構建認證機制。

安全研究員通過「DNS重新綁定」技術就能「使用從設備提取的信息以確定設備的確切位置，且準確率驚人。」Young還發布視頻詳述了該攻擊的情況。

攻擊者能夠通過DNS重新綁定在網站上執行一段代碼連接至本地網路並繞過同源策略。該代碼指向網站的一個子域，而DNS伺服器被配置為交替性地響應和攻擊者和本地主機都控制的地址。當受害者訪問網站時，瀏覽器解析受攻擊者控制的DNS伺服器，然後轉換至本地主機。

Young指出，「我能夠使用Chrome或火狐瀏覽器創建一種基本的端對端攻擊，可適用於Linux、Windows和macOS。從通用URL開始，攻擊首先識別本地子網，然後掃描尋找谷歌設備並註冊一個子域ID以啟動DNS重新綁定。頁面載入大約一分鐘後，我就能在谷歌地圖上看到我的房子。」

Young還指出，即使在隱身模式下，谷歌地圖通常也能定位到10米之內的設備。通過分析無線接入點數據和通過利用從選擇谷歌定位增強服務的設備中收集的數據進行三角測量就有可能實現。

Young表示，新發現的攻擊能夠被用于勒索等目的，比如虛假的FBI或IRS威脅向朋友和家人發布敏感信息或照片之類的欺詐中。

問題可遭廣告商濫用，受影響廠商不止谷歌

另外，由於DNS重新綁定攻擊並非利用這個bug的唯一方式，瀏覽器擴展和移動應用能夠濫用「他們受限的網路訪問許可權直接查詢設備而無需依靠或等待DNS緩存刷新。」因此，廣告商能夠獲取位置數據並和其它跟蹤獲得的網路活動將位置數據和現實世界相關聯。

Young表示，「這些問題並不僅限於谷歌設備。多年來我一直在審計嵌入式設備，而這並非我首次發現設備提供無線調查數據或其它設備的唯一詳情如序列號等。例如，智能電視機的通常通過一個唯一的屏幕ID作為DIAL協議的一部分支持類似Cast的功能。」

緩解方案

雖然完全將設備斷網是最佳的緩解方案，但Young表示在如今的聯網世界，這種選擇可能是不可能實現的。然而，用戶可採取某些步驟將暴露風險最小化。

阻止此類攻擊的其中一種方法是網路分割，即所有聯網設備使用自己的網路，從所有互聯網瀏覽發生的正常家庭網路中分離出來。在網路上增加第二台路由器，尤其是為此類聯網設備增加——研究人員指出，這是多數用戶的最佳選擇。

使用DNS重新綁定預防解決方案是阻止此類攻擊的另外一種方法。Young指出，通常用於消費者路由器中的DNS軟體包括DNS重新辦綁定保護措施，儘管這種軟體並不總是啟用狀態或者易於啟用。部署具有重新定向保護措施的本地DNS伺服器也是一種方法。

Young指出，「面對DNS重新定向和移動應用，所有運行在本地網路（尤其是HTTP服務）上的服務必須按照被直接暴露到網路的情況進行設計。我們必須假設無需憑證可從本地網路訪問的任何數據也可遭攻擊者訪問。這意味著所有請求必須是經認證的而且所有的未認證響應都應儘可能通用。」

https://www.securityweek.com/google-devices-leak-precise-physical-locations-researcher

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！