| تاریخ ارسال: 1397/4/2 |
داده های موقعیت مکانی در Google HomeوChromecast نشت پیدا کرده است این مشکل در حال patch شدن می باشد.
خطای بسیار ناچیزدر تشخیص موقعیت مکانی با دقت چند فوت
چرا این موضوع مهم است: برنامه های کاربردی که با این تجهیزات سرو کار دارند ممکن است مورد سوء استفاده هایی مانند اخاذی ، کمپین های تحریک آمیز و تبلیغات هدفمند قرار گیرد (به عنوان مثال، یک تبلیغ کننده می تواند تعیین کند که آیا کاربر در محل کار یا خانه است یا خیر، و به تبع آن تبلیغات مختلفی ارائه دهد).
ضعف احراز هویت بر روی دستگاه های Google Home و Chromecast که اخیرا کشف شده است می تواند به طور مؤثر به یک مهاجم در مشخص کردن موقعیت مکانی کمک کند.
کریگ یانگ، پژوهشگر Tripwire، در ایجاد یک تمرین آزمایشگاهی برای نشان دادن اینکه چگونه یک وبسایت می تواند شناسایی و کنترل صفحه یا بلندگو در یک شبکه محلی را کنترل کند به این ضعف یا مشکل برخورد کرد.
به نظر میرسد که اگر چه برنامه خانگی - که به کاربران امکان میدهد Google Home و Chromecast را پیکربندی کند - اکثر اقدامات را با استفاده از ابر Google انجام میدهد، برخی از وظایف با استفاده از سرور HTTP محلی انجام میشود. دستورات برای انجام دادن کارهایی مانند تنظیم نام دستگاه و اتصال Wi-Fi به طور مستقیم به دستگاه بدون هر نوع احراز هویت قابل تنظیم می باشد.
او اشاره می کند که تفاوت بین این روش و روش اصلی تشخیص موقعیت مکانی با استفاده از IP دقت آن است. دریک آزمایش،بااستفاده از آدرس IP برای تشخیص موقعیت مکانی دو مایل ، اما یانگ با اجرای نسخه ی نمایشی حمله، حدود 10 متر از دستگاه فاصله داشته است.
یانگ گفته است که این حمله در ویندوز، macOS و لینوکس با استفاده از Chrome یا Firefox جواب داده است.
یانگ برای اولین بار در ماه مه، جهت اطلاع رسانی در مورد آسیب پذیری فوق الذکر با گوگل تماس گرفت ، اما تنها با پاسخ "Status: Will not Fix (Forecast Behavior)" به مشکل مطرح شده در گزارش روبروگردید. زمانی که Krebs درمشکل امنیتی بوجود آمده ورود پیدا کرد، گوگل آن را تغییر داد.
Krebs گزارش داده است که غول جستجو در نظر دارد تا در اواسط ماه ژوئیه یک پچ برای رسیدگی به این موضوع منتشر کند.
ضعف احراز هویت بر روی دستگاه های Google Home و Chromecast که اخیرا کشف شده است می تواند به طور مؤثر به یک مهاجم در مشخص کردن موقعیت مکانی کمک کند.
کریگ یانگ، پژوهشگر Tripwire، در ایجاد یک تمرین آزمایشگاهی برای نشان دادن اینکه چگونه یک وبسایت می تواند شناسایی و کنترل صفحه یا بلندگو در یک شبکه محلی را کنترل کند به این ضعف یا مشکل برخورد کرد.
به نظر میرسد که اگر چه برنامه خانگی - که به کاربران امکان میدهد Google Home و Chromecast را پیکربندی کند - اکثر اقدامات را با استفاده از ابر Google انجام میدهد، برخی از وظایف با استفاده از سرور HTTP محلی انجام میشود. دستورات برای انجام دادن کارهایی مانند تنظیم نام دستگاه و اتصال Wi-Fi به طور مستقیم به دستگاه بدون هر نوع احراز هویت قابل تنظیم می باشد.
او اشاره می کند که تفاوت بین این روش و روش اصلی تشخیص موقعیت مکانی با استفاده از IP دقت آن است. دریک آزمایش،بااستفاده از آدرس IP برای تشخیص موقعیت مکانی دو مایل ، اما یانگ با اجرای نسخه ی نمایشی حمله، حدود 10 متر از دستگاه فاصله داشته است.
یانگ گفته است که این حمله در ویندوز، macOS و لینوکس با استفاده از Chrome یا Firefox جواب داده است.
یانگ برای اولین بار در ماه مه، جهت اطلاع رسانی در مورد آسیب پذیری فوق الذکر با گوگل تماس گرفت ، اما تنها با پاسخ "Status: Will not Fix (Forecast Behavior)" به مشکل مطرح شده در گزارش روبروگردید. زمانی که Krebs درمشکل امنیتی بوجود آمده ورود پیدا کرد، گوگل آن را تغییر داد.
Krebs گزارش داده است که غول جستجو در نظر دارد تا در اواسط ماه ژوئیه یک پچ برای رسیدگی به این موضوع منتشر کند.
دفعات مشاهده: 8153 بار |
دفعات چاپ: 711 بار |
دفعات ارسال به دیگران: 0 بار |
0 نظر