谷歌智能设备被指泄露用户的精确位置信息

聚焦源代码安全，网罗国内外最新资讯！

翻译：360代码卫士团队

Tripwire公司的研究员Craig Young表示，谷歌Home和Chromecast设备遭受新型攻击，可导致用户精确的物理位置信息遭暴露。

研究员发现的这种问题和物联网设备常遇到的两种问题有关：很少使用本地网络上接收到的认证连接以及频繁使用HTTP进行配置或控制。由于这些设计缺陷，网站有时候能和网络设备进行交互。

通过“DNS 重新绑定”技术确定设备的确切位置

Young指出，用于配置Google Home和Chromecast的Homeapp通过一个本地HTTP服务器执行某些任务，而且直接将某些命令发送至设备，而无需任何认证。这款app表明用户应该登录到和目标设备连接的谷歌账户上，但协议层面并未构建认证机制。

安全研究员通过“DNS重新绑定”技术就能“使用从设备提取的信息以确定设备的确切位置，且准确率惊人。”Young还发布视频详述了该攻击的情况。

攻击者能够通过DNS重新绑定在网站上执行一段代码连接至本地网络并绕过同源策略。该代码指向网站的一个子域，而DNS服务器被配置为交替性地响应和攻击者和本地主机都控制的地址。当受害者访问网站时，浏览器解析受攻击者控制的DNS服务器，然后转换至本地主机。

Young指出，“我能够使用Chrome或火狐浏览器创建一种基本的端对端攻击，可适用于Linux、Windows和macOS。从通用URL开始，攻击首先识别本地子网，然后扫描寻找谷歌设备并注册一个子域ID以启动DNS重新绑定。页面加载大约一分钟后，我就能在谷歌地图上看到我的房子。”

Young还指出，即使在隐身模式下，谷歌地图通常也能定位到10米之内的设备。通过分析无线接入点数据和通过利用从选择谷歌定位增强服务的设备中收集的数据进行三角测量就有可能实现。

Young表示，新发现的攻击能够被用于勒索等目的，比如虚假的FBI或IRS威胁向朋友和家人发布敏感信息或照片之类的欺诈中。

问题可遭广告商滥用，受影响厂商不止谷歌

另外，由于DNS重新绑定攻击并非利用这个bug的唯一方式，浏览器扩展和移动应用能够滥用“他们受限的网络访问权限直接查询设备而无需依靠或等待DNS缓存刷新。”因此，广告商能够获取位置数据并和其它跟踪获得的网络活动将位置数据和现实世界相关联。

Young表示，“这些问题并不仅限于谷歌设备。多年来我一直在审计嵌入式设备，而这并非我首次发现设备提供无线调查数据或其它设备的唯一详情如序列号等。例如，智能电视机的通常通过一个唯一的屏幕ID作为DIAL协议的一部分支持类似Cast的功能。”

缓解方案

虽然完全将设备断网是最佳的缓解方案，但Young表示在如今的联网世界，这种选择可能是不可能实现的。然而，用户可采取某些步骤将暴露风险最小化。

阻止此类攻击的其中一种方法是网络分割，即所有联网设备使用自己的网络，从所有互联网浏览发生的正常家庭网络中分离出来。在网络上增加第二台路由器，尤其是为此类联网设备增加——研究人员指出，这是多数用户的最佳选择。

使用DNS重新绑定预防解决方案是阻止此类攻击的另外一种方法。Young指出，通常用于消费者路由器中的DNS软件包括DNS重新办绑定保护措施，尽管这种软件并不总是启用状态或者易于启用。部署具有重新定向保护措施的本地DNS服务器也是一种方法。

Young指出，“面对DNS重新定向和移动应用，所有运行在本地网络（尤其是HTTP服务）上的服务必须按照被直接暴露到网络的情况进行设计。我们必须假设无需凭证可从本地网络访问的任何数据也可遭攻击者访问。这意味着所有请求必须是经认证的而且所有的未认证响应都应尽可能通用。”

https://www.securityweek.com/google-devices-leak-precise-physical-locations-researcher