Google исправит эксплойт, который позволял Home и Chromecast передавать ваше местоположение
Google выпустит исправление для своих Google Home и Chromecast, чтобы устранить эксплойт, который может позволить злоумышленникам использовать ваше умное домашнее устройство для получения вашей точной информации.
Эксплойт был обнаружен Tripwire в приложении Google Home. Приложение используется для настройки устройств Home и Chromecast. По большей части приложение связывается с облаком Google для выполнения действий. Однако есть некоторые действия, которые приложение «Дом» выполняет в локальной сети с незащищенным HTTP-сервером.
Прочтите это: Лучшие устройства Google Assistant
Поэтому, когда вы меняете имя устройства Chromecast или Home или даже подключаете их к Wi-Fi, приложение Home использует незашифрованный метод, который можно легко взломать. Фактически, Крэйг Янг из Tripwire сделал именно это. Он смог захватить экран подключения в приложении «Дом» и использовать его для извлечения данных о местоположении со своих устройств, которые идентифицировали его дом в пределах 10 метров.
Как это возможно? Он использует API определения местоположения HTML 5, который анализирует уровень сигнала в окружающих точках Wi-Fi, чтобы триангулировать положение устройства. На самом деле Янгу потребовалась всего минута, чтобы получить данные и найти свой собственный дом.
Янг предупреждает, что этот эксплойт может быть использован в фишинговых аферах для возможного шантажа или вымогательства. Обычные телефонные мошенники, например, выдающие себя за налоговую службу или ФБР, могут использовать эту информацию, чтобы повысить достоверность своих угроз. Хотя метод, который использовал Янг, заключался в перепривязке DNS, который, по сути, взламывает браузер, он предупреждает, что его также могут использовать расширения браузера и мобильные приложения в фоновом режиме.
Он также предупреждает, что этот эксплойт не ограничивается только устройствами Google. За годы аудита интеллектуальных устройств он несколько раз видел, как эта проблема возникала на других устройствах, таких как интеллектуальные телевизоры. Решение Google, скорее всего, добавит уровень безопасности HTTP-серверу, а также запросит некоторую аутентификацию, прежде чем сможет изменить имя устройства или подключиться к Wi-Fi.