Craig Young นักวิจัยจากบริษัทความปลอดภัย Tripwire รายงานถึงช่องโหว่อุปกรณ์ Google Cast เช่น Google Home และ Chromecast ที่ทำให้ผู้ใช้เบราว์เซอร์ที่อยู่บนเน็ตเวิร์คเดียวกับอุปกรณ์เหล่านี้ถูกเปิดเผยตำแหน่งในที่ความแม่นยำสูง แม้ไม่ได้ให้สิทธิ์เว็บไซต์เข้าถึงตำแหน่งของอุปกรณ์ก็ตามที
รายงานตอนนี้ไม่ได้บอกกระบวนการอย่างละเอียด แต่ระบุว่าช่องโหว่เกิดจากอุปกรณ์ Cast เหล่านี้ไม่มีกระบวนการยืนยันตัวคนของผู้ส่งคำสั่ง และเขาใช้เทคนิค DNS rebinding ที่เคยใช้เปิดเผยหมายเลขไอพีของเครือข่ายในบ้าน ด้วยช่องโหว่ของเราท์เตอร์ แต่ครั้งนี้ใช้เปิดเผยตำแหน่งของผู้ใช้ได้ด้วย
รายงานไม่ได้บอกว่ารู้ตำแหน่งได้อย่างไร แต่ความเป็นไปได้หนึ่งคือช่องโหว่นี้เปิดเผย MAC ของ Access Point ในบ้าน ทำให้สามารถนำไปตรวจดูตำแหน่งได้
Young ระบุว่าเขารายงานช่องโหว่นี้ไปยังกูเกิลครั้งแรกเมื่อเดือนพฤษภาคม แต่กูเกิลปิดรายงานโดยระบุว่าเป็นพฤติกรรมที่ตั้งใจแต่แรก แต่เมื่อ Brian Krebs รายงานช่องโหว่ไปอีกครั้ง กูเกิลก็ระบุว่ากำลังออกแพตช์ให้เร็วๆ นี้ ระหว่างผู้ใช้สามารถป้องกันตัวเองด้วยการแยกอุปกรณ์เหล่านี้ออกจากเครือข่ายอุปกรณ์ทั่วไป และเปิดฟีเจอร์ป้องกัน DNS rebinding ในเราท์เตอร์
ที่มา - KrebsOnSecurity, Tripwire
Comments
ระหว่างผู้ใช้ ?