米Tripwireは6月18日(現地時間)、Google HomeやChromecastデバイスのセキュリティー脆弱性により自宅の住所が漏洩する可能性を指摘した。
これは同社Blogにて公開されたもの。Google HomeやChromecastなどのIoTデバイスでは、ローカルネット上の接続認証を必要としないわりには、組み込み機器の設定や制御のためにHTTPを多用する。機能を利用するGoogleアプリは本来のユーザーであるアカウントにログインする必要があるが、プロトコルレベルでは組み込まれた認証メカニズムがないという問題がある。
自宅の位置情報に関しても、GPSが組み込まれていないデバイスにおいてもGoogleはスマホから所得した位置情報やWi-Fi強度から自位置を驚くほどよく把握しているという。
Tripwireでは、模擬的な攻撃を作成することで簡単に自宅位置を特定できたとしている。この問題に関しては、ネットワークのセグメントを分けてセキュリティーを強化するほか、ルーターを多重化する(直接の攻撃経路を回避する簡易的な解決策)などを挙げている。