Google xác nhận lỗ hổng bảo mật vị trí địa lý và thông tin của người dùng Chromecast và Google Home

Monospace_Google_Home_Chromecast_geolocation_security_flaws_p2.jpg

Google vừa chính thức thức thông báo việc sửa lỗ hổng bảo mật của hai mẫu sản phẩm Chromecast và Google Home và Chromecast. Trước đây các hacker có khả năng định vị các mẫu Chromecast và Google Home của bạn và có thể sử dụng điều này gây ảnh hưởng về tính bảo mật thông tin của người sử dụng

Theo nghiên cứu của Craig Young, chuyên gia về an ninh mạng tại TripWire cùng với bản báo cáo của nhà báo công nghệ Brian Krebs vừa được giới thiệu vào thứ 2 vừa quam, thì các hacker có thể truy cập vào địa chỉ định vị hiện tại của những người sử dụng Chromecast và Google Home một cách khá dễ dàng. Google đã chính thức xác nhận vấn đề này cũng như sẽ có kế hoạch để vá lỗ hổng nào thông qua bản update vào tháng 7.

“Tôi đã có thể sử dụng những dữ liệu được truy cập từ các thiết bị của Google để có thể xác định vị trí chính xác của từng sản phẩm” Young đã chia sẻ trong blog của mình khi anh ấy có thể sử dụng các trình duyệt mạng web browser nhưng một thiết bị trung gian để có thể truy cập vào Chromecast hoặc Google Home được kết nối vào trong cùng một hệ thống mạng router. Trong lúc thử nghiệm, anh ta đã có thể thu thập dữ liệu từ xa về địa chỉ của mình thông qua Chromecast. Lỗ hổng này ảnh hưởng đến người dùng bất kỳ người sử dụng các thiết bị của Google có sử dụng kèm với máy tính trong cùng một hệ thống mạng router.

Việc hack này có thể được xem là một ví dụ đơn giản về việc thu thập dữ liệu của các công ty công nghệ bao gồm cả những dữ liệu mà bạn đã đồng ý chia sẻ với bên khác cũng có thể bị lợi dụng bởi hacker trong trường hợp dòng thông tin này chưa được mã hóa chặt chẽ.

Monospace_Google_Home_Chromecast_geolocation_security_flaws_p1.jpg

Vậy làm cách nào mà Young phát hiện lỗ hổng bảo mật này?

Đầu tiên, Young tạo nên một website có thể chứa các mã độc và phần mềm nguy hiểm. Sau đó anh ấy truy cập vào website đó, ngay lập tức tại máy chủ server của Website sẽ bắt đầu quy trình truy cập từ xa và có thể thấy Chromecast và chiếc máy tính đang được truy cập vào website đang sử dụng chung hệ thống mạng với cùng một router. Cuối cùng từ website sẽ gửi mã lệnh từ xa đến Chromecast và thiết bị sẽ phản hồi lại với vị trí chính xác của router thậm chí nếu các bạn có sử dụng Tor thì bạn vẫn bị ảnh hưởng.

Lỗ hổng bảo mật này cũng sẽ ảnh hưởng các người dùng Windows hoặc Mac, và với bất kỳ các browser nào.

Bản vá lỗi của Google hiện tại đang được lên kế hoạch để được chính thức giới thiệu vào giữa hoặc cuối tháng 7 tới, đại diện của Google đã thông báo qua email với các báo.

Tại sao Google lại biết chính xác địa chỉ của router của bạn?

Các bạn có lẽ đang tự hỏi tại sao Google lại biết chính xác vị trí của bạn, điều này không liên quan đến GPS của sản phẩm của bạn mà chính địa chỉ IP public của bạn khi bạn truy cập website online. Mỗi khi bạn truy cập vào một website thì địa chỉ IP của bạn do nhà cung cấp mạnh của bạn cung cấp. Tuy nhiên thông thường sẽ có những biện pháp cụ thể để giới hạn khu vực nhất định ví dụ chỉ có thể cho biết là bạn đang ở thành phố nào khi truy cập vào website tuy nhiên với khi truy cập vào thông tin của Chromecast và Google Home thì những dữ liệu địa chỉ của bạn có thể được xách định tới mức phường hoặc khu phố, căn hộ.

Đó cũng là lý do mà Google có thể cho bạn biết địa chỉ chính xác của bạn trong Google Maps đối với các sản phẩm thậm chí không cần đến thiết bị hỗ trợ GPS. Đơn giản hơn bây giờ các bạn có thể mở google maps trên máy tính và nếu chọn vào My Location dấu mũi tên đánh dấu vị trí của bạn, nếu bình thường thì sản phẩm có thể cho bạn vị trí chính xác của bạn trên máy tính. Đây là cách mà Krebs giới thiệu là cách mà ứng dụng Google Waze có thẻ chỉ dẫn đường cho bạn trong trường hợp không có GPS.

Đây là thông tin mà Chromecast và Google Home gửi đến cho hacker, tất cả những gì mà Young làm đơn giản chỉ là tìm cách mà Hacker có thể gửi yêu cầu đó đến cho các sản phẩm Google thông qua các máy tính được kết nối với cùng một router.

Tại sao vấn đề này quan trọng đến an toàn cá nhân?

Lỗ hổng này quan trọng không đơn giản vì hacker có thể biết bạn ở đâu, mà đây còn có thể khiến cho cá scammer có thể lợi dụng các thông tin của bạn để giả danh ngân hàng, nhà mạng, hoặc các cơ quan chính phủ yêu cầu cung cấp thêm các thông tin khác hoặc đòi tiền phạt, tiền phí ... một cách thật đến khó ngờ. Từ đó có thể khiến bạn mất tiền oan uổng hoặc ảnh hưởng đến bảo mật thông tin của bạn và cả gia đình.

Đây có lẽ là thời đại mà cả việc hack thiết bị phần cứng, phần mềm cùng với tấn công phi kỹ thuật hay chính xác hơn được gọi là Social Engineer Hacking đang thịnh hành và càng có nhiều người chịu ảnh hưởng và hậu quả không hề nhẹ

Nguồn: CNet