Google Home および Chromecast デバイスにはファームウェアの設計上の欠陥があり、ユーザーの正確な位置情報が潜在的な攻撃者に公開される可能性があります。
Googleデバイスの設計上の欠陥
セキュリティ企業 Tripwire に勤務する研究者 Craig Young 氏が Black Hat トレーニングのために実施していたラボ実験中に、Young 氏は、Google Home や Chromecast のユーザーがデバイスの設定に使用しているホーム アプリが、Google Cloud インフラストラクチャだけでなく、ローカル HTTP サーバー経由でもタスクを実行していることを発見しました。
ここでの主な問題は、これらのコマンドに認証が一切存在しないことです。これはほとんどのモノのインターネット(IoT)デバイスに共通する問題ですが、Googleのデバイスには想定されていませんでした。Google製品のこの設計上の欠陥を利用することで、ヤング氏はChromecastに接続された画面を乗っ取るだけでなく、GPSの位置情報とほぼ同等の10メートル精度で自身の位置情報を特定することに成功しました。
どうやら、ヤング氏がこの情報を取得できたのは、Googleが他のWi-Fiホットスポットとの近接性から位置情報を収集できるHTML5ロケーションAPIを利用していたためだと思われます。ヤング氏は、汎用URLからローカルサブネットをスキャンしてGoogleデバイスを探すエクスプロイトを開発しました。その後、彼はGoogleマップ上で自分の家を確認することに成功しました。
「意図された行動」
ヤング氏が5月にGoogleのファームウェアにおけるこの設計上の欠陥について初めて連絡を取った際、Googleは「ステータス:修正なし(意図された動作)」というメッセージでバグをクローズしました。ヤング氏は投稿の中で、ブラウザ拡張機能やモバイルアプリは通常、ユーザーに通知されることなく位置情報を照会できると指摘しています。この種の手法は、広告主がユーザーを特定するために利用されてきました。
もし Google が同じ欠陥を利用して、ユーザーへの広告をより的確にターゲティングしていたとしたら、同社が当初このバグの修正に消極的だった理由が説明できるだろう。
しかし、サイバーセキュリティジャーナリストのブライアン・クレブス氏から連絡を受けた後、Googleは考えを変えたようで、この欠陥に対するパッチを2018年7月中旬にリリースする予定だと述べた。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
潜在的な影響と緩和策
ヤング氏は、攻撃者がこの種の脆弱性を悪用することで、偽のFBIやIRSの警告を送信したり、場合によっては危険な写真を公開すると脅迫したりすることで、より効果的に人々を脅迫したり、ゆすり取ったりできると考えている。ヤング氏によると、これらのデバイスをインターネットから完全に遮断する以外に、攻撃者に対するリスクを最小限に抑える方法はいくつかあるという。
一つ目は、Wi-Fiネットワークをセグメント化して分離することです。例えば、仕事やプライベートのブラウジング用に1つのWi-Fiネットワーク、スマートテレビなどのIoTデバイスの接続用にもう1つのWi-Fiネットワークを用意するといった具合です。もう一つの選択肢は、ルーターのDNSリバインド保護を有効にすることです。この機能は通常、デフォルトでは有効になっていません。
ヤング氏はまた、特にネットワーク経由で送信されるデータが認証されていない場合は、ローカル ネットワーク上で実行されるすべてのデバイスをインターネットに公開されているかのように構成することを推奨しました。
Google Homeスマートスピーカーは、昨年秋に発売された際に、ユーザーの会話を密かに録音する問題が発覚しました。同社はこの欠陥が発覚後すぐに修正しました。
