信息來源：hackernews

雷鋒網消息，據(jù)外媒美國時間 6 月 18 日報道，未來幾周內，谷歌將修復旗下兩款最火爆消費級產品的地理位置信息泄露問題。最新研究顯示，只需在后臺運行一個簡單的腳本，黑客就能從 Google Home 或 Chromecast 電視棒上搜集精確的位置信息。

來自安全公司 Tripwire 的研究者 Craig Young 表示，他發(fā)現(xiàn)了谷歌這兩款產品上的一個身份驗證的弱點，黑客能通過弱點拿到用戶極為精確的地理位置信息。原來，他們只需詢問谷歌設備附近無線網絡的名單，隨后將該名單發(fā)給谷歌的地理位置查詢服務就行。

“黑客完全可以進行遠程攻擊，只要能讓受害者連接在相同 Wi-Fi 或有線網絡上的產品，打開一個鏈接就行?！盰oung 說道?！安贿^，這種攻擊方法有其局限性，因為這個至關重要的鏈接至少要開啟一分鐘以上，攻擊者才能拿到精確的地理位置信息?！?

一般來說，網站都會記錄訪問者的數(shù)字 IP 地址，如果結合在線地理定位工具使用，就能搜集到訪問者所處地理位置的信息。不過，此類地理位置信息在準頭上可差得多。

但是，谷歌的地理位置數(shù)據(jù)可不一樣，它們在全球有用大量無線網絡名稱的綜合性地圖，每個 Wi-Fi 網絡都有對應的物理地址。掌握了這些數(shù)據(jù)的谷歌，通過三角測量甚至能將用戶地位精確到幾英尺之內。（如果你不信，就請關掉手機上的定位數(shù)據(jù)并移除 SIM 卡，這時手機照樣能找到你的位置）。

“與普通的 IP 地址定位相比，谷歌的位置數(shù)據(jù)精準度要高出不少?！盰oung 說?！叭绻F(xiàn)在我定位了自己的 IP 地址，得到的數(shù)據(jù)只能落在我周邊 2 英里之內。如果用家里的 IP 地址進行定位，位置漂移甚至能達到 3 英里。一旦黑客拿走谷歌的位置數(shù)據(jù)，定位精度就能縮短到設備周邊 10 米左右?！?

“我只在三種環(huán)境下進行過測試，每次得出的地址都相當精確?！盰oung 說道。“基于 Wi-Fi 的定位主要靠對信號強度、接入點以及用戶手機位置（已知）的三角測量得出?！?

這個弱點除了會曝光 Chromecast 或 Google Home 用戶的位置信息，還能讓黑客有機可乘，發(fā)動釣魚和勒索攻擊。

其實全世界的騙子都差不多，美國的也喜歡冒充 FBI 或國稅局來恐嚇你，他們甚至還會威脅向你的家人和朋友泄露某些秘密，而精確的地里位置信息會成為騙子的幫兇，增加他們的手的幾率。

雷鋒網了解到，今年 5 月，Young 向谷歌報告了自己的發(fā)現(xiàn)，不過搜索巨頭直接回復稱，自己不會修復這個問題。但后來它們改了口，稱準備推送升級包解決這兩款設備的隱私泄露問題。據(jù)悉，這個升級包將于今年 7 月  中旬正式推送。

“我們必須假定，在本地網絡上可以訪問的任何無認證數(shù)據(jù)攻擊者也能隨意接入。”Young 在博客中寫道?！斑@就意味著，所有請求都必須進行驗證，而所有未驗證的響應都越模糊越好。”

“如果你不太懂技術，解決該問題最好的方案就是為聯(lián)網設備專門添加一個路由器?！盰oung 在博客上寫道?！爸恍鑼⑿侣酚善鞯?WAN 口連上現(xiàn)有路由器的開放 LAN 端口，攻擊者漂浮在主網絡中的代碼就不能隨意控制這些聯(lián)網設備了。雖然這種方案并非終極防御之術，但防范普通的攻擊者綽綽有余了，因為他們中大多數(shù)人恐怕根本就意識不到自己還得攻克另一個網絡。