Google виправить експлойт, через який Home і Chromecast виточили ваше місцезнаходження
Google випустить виправлення для своїх Google Home і Chromecast, щоб усунути експлойт, який може дозволити зловмисникам використовувати ваш розумний домашній пристрій, щоб отримати вашу точну інформацію.
Експлойт був виявлений Tripwire у додатку Google Home. Програма використовується для налаштування пристроїв Home і Chromecast. Здебільшого програма зв'язується з хмарою Google для виконання дій. Проте є деякі дії, які програма Home виконує в локальній мережі з незахищеним сервером HTTP.
Прочитайте це: найкращі пристрої Google Assistant
Отже, коли ви змінюєте назву пристрою Chromecast або Home або навіть підключаєте їх до Wi-Fi, програма Home використовує незашифрований метод, який можна легко зламати. Фактично, Крейг Янг з Tripwire зробив саме це. Він зміг захопити екран підключення в додатку Home і використав його для отримання даних про місцезнаходження зі своїх пристроїв, які ідентифікували його дім у межах 10 метрів.
Як це можливо? Він використовує API розташування HTML 5, який аналізує потужність сигналу в оточуючих точках Wi-Fi, щоб визначити положення пристрою. Насправді Янгу знадобилася лише хвилина, щоб зібрати дані та знайти свій власний будинок.
Янг попереджає, що цей експлойт може бути використаний у фішингових аферах для можливого шантажу чи погроз вимагання. Поширені телефонні шахраї, як-от видавання себе за IRS чи ФБР, можуть використовувати цю інформацію, щоб додати відчуття достовірності своїм погрозам. Незважаючи на те, що Янг використовував метод повторного прив’язування DNS, який, по суті, захоплює браузер, він попереджає, що його також можуть використати розширення браузера та мобільні програми у фоновому режимі.
Він також попереджає, що цей експлойт не обмежується лише пристроями Google. Протягом багатьох років перевірки смарт-пристроїв він бачив, як ця проблема кілька разів виникала в інших пристроях, як-от смарт-телевізори. Рішення від Google, ймовірно, додасть рівень безпеки до HTTP-сервера, а також запитає якусь автентифікацію, перш ніж мати можливість змінити назву пристрою або підключитися до Wi-Fi.