谷歌公司改口 将修复地理位置信息泄露问题

【PConline资讯】消息，据外媒美国时间6月18日报道，未来几周内，谷歌将修复旗下两款最火爆消费级产品的地理位置信息泄露问题。最新研究显示，只需在后台运行一个简单的脚本，黑客就能从GoogleHome或Chromecast电视棒上搜集精确的位置信息。

来自安全公司Tripwire的研究者CraigYoung表示，他发现了谷歌这两款产品上的一个身份验证的弱点，黑客能通过弱点拿到用户极为精确的地理位置信息。原来，他们只需询问谷歌设备附近无线网络的名单，随后将该名单发给谷歌的地理位置查询服务就行。

“黑客完全可以进行远程攻击，只要能让受害者连接在相同Wi-Fi或有线网络上的产品，打开一个链接就行。”Young说道。“不过，这种攻击方法有其局限性，因为这个至关重要的链接至少要开启一分钟以上，攻击者才能拿到精确的地理位置信息。”

一般来说，网站都会记录访问者的数字IP地址，如果结合在线地理定位工具使用，就能搜集到访问者所处地理位置的信息。不过，此类地理位置信息在准头上可差得多。

但是，谷歌的地理位置数据可不一样，它们在全球有用大量无线网络名称的综合性地图，每个Wi-Fi网络都有对应的物理地址。掌握了这些数据的谷歌，通过三角测量甚至能将用户地位精确到几英尺之内。（如果你不信，就请关掉手机上的定位数据并移除SIM卡，这时手机照样能找到你的位置）。

“与普通的IP地址定位相比，谷歌的位置数据精准度要高出不少。”Young说。“如果现在我定位了自己的IP地址，得到的数据只能落在我周边2英里之内。如果用家里的IP地址进行定位，位置漂移甚至能达到3英里。一旦黑客拿走谷歌的位置数据，定位精度就能缩短到设备周边10米左右。”

“我只在三种环境下进行过测试，每次得出的地址都相当精确。”Young说道。“基于Wi-Fi的定位主要靠对信号强度、接入点以及用户手机位置（已知）的三角测量得出。”

这个弱点除了会曝光Chromecast或GoogleHome用户的位置信息，还能让黑客有机可乘，发动钓鱼和勒索攻击。

其实全世界的骗子都差不多，美国的也喜欢冒充FBI或国税局来恐吓你，他们甚至还会威胁向你的家人和朋友泄露某些秘密，而精确的地里位置信息会成为骗子的帮凶，增加他们的手的几率。

了解到，今年5月，Young向谷歌报告了自己的发现，不过搜索巨头直接回复称，自己不会修复这个问题。但后来它们改了口，称准备推送升级包解决这两款设备的隐私泄露问题。据悉，这个升级包将于今年7月中旬正式推送。

“我们必须假定，在本地网络上可以访问的任何无认证数据攻击者也能随意接入。”Young在博客中写道。“这就意味着，所有请求都必须进行验证，而所有未验证的响应都越模糊越好。”

“如果你不太懂技术，解决该问题最好的方案就是为联网设备专门添加一个路由器。”Young在博客上写道。“只需将新路由器的WAN口连上现有路由器的开放LAN端口，攻击者漂浮在主网络中的代码就不能随意控制这些联网设备了。虽然这种方案并非终极防御之术，但防范普通的攻击者绰绰有余了，因为他们中大多数人恐怕根本就意识不到自己还得攻克另一个网络。