Google korjaa hyväksikäytön, joka antaa Homen ja Chromecastin vuotaa sijaintisi
Google julkaisee korjauksen Google Homelle ja Chromecastille korjatakseen hyväksikäytön, joka saattaa sallia haitallisten toimijoiden hyödyntää kodin älylaitetta saadakseen tarkkoja tietojasi.
Tripwire löysi hyväksikäytön Google Home -sovelluksessa. Sovellusta käytetään sekä Home- että Chromecast-laitteiden määrittämiseen. Suurimmaksi osaksi sovellus kommunikoi Googlen pilven kanssa toimintojen suorittamiseksi. On kuitenkin olemassa joitakin toimintoja, joita Home-sovellus tekee paikallisessa verkossa suojaamattoman HTTP-palvelimen kanssa.
Lue tämä: Parhaat Google Assistant -laitteet
Joten kun muutat Chromecastin tai Homen laitteen nimeä tai jopa yhdistät ne Wi-Fi-verkkoon, Home-sovellus käyttää salaamatonta menetelmää, joka voidaan helposti kaapata. Itse asiassa Tripwiren Craig Young teki juuri niin. Hän pystyi kaappaamaan Home-sovelluksen yhteysnäytön ja poimimaan sen avulla sijaintitietoja laitteistaan, jotka tunnistivat hänen kotinsa 10 metrin säteellä.
Kuinka tämä on mahdollista? Se hyödyntää HTML 5:n sijaintisovellusliittymää, joka analysoi signaalin voimakkuuksia ympäröivissä Wi-Fi-pisteissä ja määrittää laitteen sijainnin kolmiomaisesti. Itse asiassa Youngilta kesti vain minuutin hakea tiedot ja löytää oman kotinsa.
Young varoittaa, että tätä hyväksikäyttöä voidaan käyttää tietojenkalasteluhuijauksissa mahdollisiin kiristys- tai kiristysuhkauksiin. Yleiset puhelinhuijaukset, kuten IRS:ksi tai FBI:ksi teeskentely, voivat käyttää näitä tietoja lisätäkseen uskottavuutta uhkauksiinsa. Vaikka Youngin käyttämä menetelmä oli DNS-uudelleensidonta, joka pohjimmiltaan kaappaa selaimen, hän varoittaa, että myös selainlaajennukset ja taustalla olevat mobiilisovellukset voivat hyödyntää sitä.
Hän varoittaa myös, että tämä hyväksikäyttö ei rajoitu vain Googlen laitteisiin. Älylaitteita tarkastellessaan vuosien aikana hän on nähnyt tämän ongelman esiintyvän useita kertoja aiemmin muissa laitteissa, kuten älytelevisioissa. Googlen ratkaisu todennäköisesti lisää suojauskerroksen HTTP-palvelimelle ja pyytää samalla jonkinlaista todennusta ennen laitteen nimen vaihtamista tai Wi-Fi-yhteyttä.