将来几周，谷歌将会修复其最受欢送两个产品的数据泄露成绩。近日一项研讨标明，网站可以在后台运转一个复杂的脚本，搜集到Google Home以及Chromecast用户的准确地位数据。

Craig Young是平安公司Tripwire的一名研讨员，他发现了Google Home 以及 Chromecast的这一认证破绽；后者是谷歌发布的一款智能衔接设备，在同一Wifi下，用户可以经过Chromecast将手机或平板播放的视频同步到电视上。

Young说道：“向谷歌设备发送为数亿中文用户免费提供海量、全面、及时的百科信息，并通过全新的维基平台不断改善用户对信息的创作、获取和共享方式。讯问左近无线网络的恳求，然后把取得的网络列表发送到谷歌的天文地位查找效劳，这样就能取得其他用户的地位信息。”

Young补充道：“任何人都可以停止近程网络攻击，只需他们能让那些在同一个Wi-Fi或有线网络下衔接着Google Home和Chromecast的用户点开链接即可。这种网络入侵只要一个限制，那就是取得确切地位信息之前，用户需求维持链接翻开页面大约1分钟。这种攻击可以隐藏中歹意广告、或是社交推文中。”

普通状况下，网站会保管一切拜访者的数字协议地址记载。这些记载可以与地址定位工具结合运用，以搜集到拜访者所在的区域地位信息。但是这类的天文地位信息并不非常准确。

但是，谷歌的这次数据泄露却与之不一样。谷歌原本就有着一个十分大的数据库，其天文定位数据包括了世界各地无线网络的全局地图，能把每一个独立的Wi-Fi网络婚配衔接到相应的物理地位上。有了这些数据，谷歌可以把用户的地位准确到几英尺以内。

Young表示：“假如用IP地址来查找我的定位，那能够地点间隔误差会到达2至3英里；但是假如用侵入Home设备的这种办法，误差能够仅为10米。”

除了地位信息被泄露之外，这一破绽还能够会滋长网络钓鱼和讹诈攻击等立功行为。Young指出，一些诈骗犯能够会应用谷歌的地位数据添加他们骗局的可信度，比方假FBI或国税局诈骗、裸照要挟，等等。

往年5月，Young就他的发现与谷歌停止联络。事先，谷歌的回应是“处置形态：不予处置”。但在与KrebsOnSecurity联络之后，谷歌改动了态度，表示会着手修复这两款设备的数据泄露成绩。目前，更新修复方案定于2018年7月中旬。

依据Tripwire公司的说法，数据泄露成绩是由于Google Home和Chromecast的认证才能过于单薄——这两款设备很少会对本地网络接下收到的衔接恳求停止身份验证。

往年早些时分，KrebsOnSecurity曾发布了一篇关于“增强物联网设备平安”的指点文章。但该文章短少了一条极具技术性的建议：将物联网设备与本地网络上的其他设备区隔开来，创立一个独立的物联网，与那些你用来上网或是存储文件的设备分开联网。

Young写道：“更为复杂的处理方案是，为这些衔接设备开设一个新的网络端口。这样一来，当黑客攻击主网时，就不会触及到这些设备了。”