Google HomeとChromecast、ユーザーの位置情報を流出させる恐れ
Google HomeやChromecastを悪用すれば、被害者の位置情報を高い精度で特定でき、番地まで絞り込むこともできてしまう恐れがあるという。
セキュリティ企業のTripwireは6月18日、米Googleのスマートスピーカー「Google Home」とストリーミング用端末の「Chromecast」について、ユーザーの位置情報を高い精度で流出させてしまう問題が見つかった伝えた。この問題を悪用して住所を特定されれば、脅迫や詐欺などの手口に利用される恐れもあるとしている。
Tripwireやセキュリティ情報サイトのKrebs on Securityによると、この問題は両デバイスの認証問題に起因しており、攻撃者がWebサイトに簡単なコードを仕込むだけで悪用できる。被害者がGoogle HomeやChromecastと同じWi-Fiを使ってコンピュータでこの不正なリンクを開くと、攻撃者が被害者の位置情報を高い精度で特定することが可能になり、番地まで絞り込むこともできてしまう恐れがあるという。
攻撃者が位置情報を取得するためには、被害者が1分ほど不正なリンクを開いたままにしておく必要がある。攻撃用のコンテンツは、悪質な広告に仕込むことも、ツイートに仕込むこともできるという。
Webサイトが収集するユーザーのIPアドレスから、位置情報を特定するのは一般的に行われていることだが、そうした位置情報の精度はそれほど高くない。ところがGoogleの場合、世界中のユーザーが使っているWi-Fiネットワークの位置情報を収集しており、同社の地図情報サービスと組み合わせれば、ユーザーの居場所をかなり高い精度で絞り込むことができてしまう。
こうした情報は、フィッシング詐欺や脅迫などに利用される恐れもあるとTripwireは指摘する。例えば、捜査機関からの警告を装う手口や、流出させた写真を公開するという脅し、あるいは友人や家族の秘密をばらすという脅しに、Google Homeの位置情報をもとに特定した住所を組み合わせれば、偽の警告の信憑性が高まる。
Googleは、Tripwireの研究者から2018年5月に報告を受けた時点では、修正の予定はないとしていたという。しかしKrebsOnSecurityが接触すると姿勢を変えて、両デバイスのプライバシー流出問題に対応すると表明。修正のためのアップデートは2018年7月半ばに公開される見通しだとKrebsOnSecurityは伝えている。
関連記事
- 「Home Mini」が音声や物音を勝手にGoogleに送信? 一部製品の不具合に対処
「Google Home Mini」が1日に何千回も起動して、家の中の音声や物音を勝手に録音し、Googleに送信してしまうという問題が報告された。 - 「Google Home」などでWi-Fiが切れる問題、ルータ各社がファームウェア更新で対処
「Google Home」がスリープモードから起動する際に1度に大量のmDNSを送信することがあり、これが原因でWi-Fiが落ちることがあったとルータメーカーのTP-Linkが説明してファームウェアアップデートを公開した。Googleも米メディアに対し、これを認めた。 - 無意識の設定であなたの居場所がダダ漏れに? iPhoneのこんな設定に注意
なぜ、このアプリが位置情報を使ってるの? 無意識に行ったスマホのプライバシー設定であなたの位置情報がダダ漏れしてるとしたら……。 - 旅行アプリで実感 Googleに個人情報を渡すリスクと利便性
宿や飛行機の予約メールから自動で旅程を作ってくれるとても便利なアプリをGoogleが提供していますが、無料なのにはもちろんワケがあります。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.