本文由腾讯数码独家发布
虽然 Google Home 智能家居设备在执行大量高级别机器学习任务时需要连接谷歌云,以提高其安全加固能力,但根据 Tripwire 网络安全研发专员 Chris Young 最近报道,Google Home 上仍然有少量任务仅需通过适配的移动 APP 就可以进行本地连接,而不需要经过云平台。
而这些未经授权的连接方式很有可能让黑客通过使用域名服务绑定等来向谷歌Home 用户发布恶意链接,黑客们可以利用其漏洞来提取数据,在不需要连接同样谷歌 Home 设备 Wifi 的条件下或许用户的位置隐私数据。
Young 还提到:“攻击者完全可以远程操作,只需要想办法让受害者打开一个恶意链接就可以同步连接到用户的 WiFi 无线或有线网络,并进一步黑进用户的 Chromecast或其他谷歌设备,这是一个巨大的漏洞,对于黑客们来说,他们唯一真正的限制就是在发起攻击,窃取位置数据前必须要经过有大概一分钟的等待时间,在此之后,他们就可以用恶意广告,甚至推特的形式发起攻击。”
而 Google Home 之所以如此容易受到攻击,则是因为谷歌是通过周围的无线网络绘制地图来实现用户的位置定位功能的,而黑客则可以利用Google Home 中的漏洞提取目标设备周围的无线网络列表清单,然后将这些数据与谷歌的地理定位服务比对,从而得到关于目标攻击设备的准确位置。
Young 表示,这个漏洞存在着潜在的不良后果,意味着给黑客的勒索行动提供了方便,比如他们可以假装 FBI 或者国税局,利用这些数据作为谎言证据,不过虽然说Google Home 这次是该隐私窃听问题的罪魁祸首,但 Young 发现,其实还有很多其他的智能和嵌入式设备具有同样的漏洞,为黑客接入用户的位置和WiFi 网络创造了条件,而解决的最有效办法就是让智能设备上的所有数据访问都必须经过合法授权,对于陌生的数据访问要求进行有效规避,或者采用网络隔离和DNS 域名保护的方式。
领取专属 10元无门槛券
私享最新 技术干货