ابزارهای گوگلهوم و کرومکست شرکت گوگل با یک مشکل جدی در زمینه حریم خصوصی دست به گریبان هستند. محققان امنیتی با بررسی فرآیند احرازهویت کاربران موفق به یافتن نقطه ضعفی شدند که در صورت سو استفاده، امکان افشای موقعیت دقیق شما توسط این دستگاهها را فراهم خواهد کرد.
مشکل مذکور اساسا ریشه در این واقعیت دارد که مردم از این دستگاهها و اسمارتفون یا کامپیوترشخصی خود بر روی یک شبکه یکسان استفاده میکنند. در اینحالت گجت گوگلهوم یا کرومکست شما، درخواستها/ارتباطات ارسالی از سوی سایر دستگاهها روی شبکه محلی شما را اعتبارسنجی نخواهد کرد و مشکل اساسی نیز در همین قسمت وجود دارد.
یک کارشناس امنیتی با نام کریگ یانگ که موفق به کشف این مشکل شده است، به منظور بهرهبرداری از آن حملهای را تدارک دید که فهرست شبکههای بیسیم اطراف را از گوگلهوم و کرومکست درخواست میکرد. با دریافت این فهرست و ارایه آن به سرویس مکانیابی گوگل به آسانی میتوان موقعیت مکانی دقیق قربانی را مشخص نمود.
وی گفت: “هنگام اتصال به شبکه سیمی یا بیسیم مشابه با دستگاههای گوگلهوم و کرومکست تا زمانی که قربانی قادر به بازگشایی یک لینک باشد، شخص مهاجم نیز کاملا میتواند از راه دور به فعالیت مخرب بپردازد. تنها محدودیت واقعی این است که لینک مذکور بایستی حدودا یک دقیقه قبل از دسترسی مهاجم به موقعیت مکانی در وضعیت بازشده باقی بماند. محتوای حمله میتواند در قالب تبلیغات مخرب یا حتی یک توئیت گنجانده شود.”
برای اطلاع آندسته از افرادی که اطلاعات چندانی ندارند بایستی خاطرنشان کرد که اطلاعات مکانی به دست آمده از طریق شبکههای وایفای در مقایسه با حالتی که این دادهها از طریق آدرس IP استخراج میشوند، بسیار دقیقتر هستند و این عامل مشکل را بسیار جدیتر خواهد کرد. یانگ میگوید: “در فاصله تقریبا 10 متری از دستگاه، دریافت موقعیت مکانی به صورت پیوسته امکانپذیر است.”
مفهوم این آسیبپذیری به افشای دادههای مکانی محدود نمیشود و همانطور که یانگ اشاره میکند، شما به صورت اعجابانگیزی در معرض تهدید کمپین های اخاذی و زورگیری قرار خواهید گرفت. وی میگوید: “تهدید برای انتشار عکسهای تلافیجویانه یا افشای برخی اسرار نزد دوستان یا اعضای خانواده، حربههایی برای تحمیل فشار بر کاربران هستند و شانس موفقیت مهاجمین را افزایش میدهند.”
گوگل در ابتدای امر به یافتههای یانگ توجهی نکرد؛ اما پس از آنکه یک محقق امنیتی دیگر نیز این مشکل را با آنها در میان گذاشت، کمپانی اقدام به بررسی مشکل نمود و اعلام کرد که این مسئله با ارائه یک بهروزرسانی طی ماه آینده برطرف خواهد شد.