隨著行動設備的大量普以及隨時隨地上網的人數越來越多,地理位置資訊的應用也越來越熱門。雖然這類資訊可能讓個人的行蹤被其他人一覽無遺,但是因為這些資訊的開放大多是屬於使用者自行所決定,所以反對份子所能夠持有的立場往往顯得較為薄弱,對於一般人而言也還不致於造成過多的擔憂。但是,如果這類資訊的開放並不是使用者自願的,甚至是在使用者不知情的情況下所發生,結果或許就會有很大的轉變。 Samy Kamkar 在他自己的網站上發表了一個概念驗證的手法,他利用路由器的漏洞取得用戶端電腦的網卡卡號,然後再使用 Firefox Location-Aware Browsing 的功能,就可以在不知不覺的情況下取得使用者所在的位置。不過他的範例只針對特定的路由器才有作用,所以對於一般人倒是還沒有立即的危害。只是取得網卡卡號並不是只有一種方法,所以其所可能衍生的問題依舊不可小覷。 相關連結: Mapping a web browser to GPS coordinates via router XSS + Google Location Services without prompting the user- 11月 04 週四 201023:32
[新奇玩意] 路由器 XSS 讓你無處可躲
隨著行動設備的大量普以及隨時隨地上網的人數越來越多,地理位置資訊的應用也越來越熱門。雖然這類資訊可能讓個人的行蹤被其他人一覽無遺,但是因為這些資訊的開放大多是屬於使用者自行所決定,所以反對份子所能夠持有的立場往往顯得較為薄弱,對於一般人而言也還不致於造成過多的擔憂。但是,如果這類資訊的開放並不是使用者自願的,甚至是在使用者不知情的情況下所發生,結果或許就會有很大的轉變。 Samy Kamkar 在他自己的網站上發表了一個概念驗證的手法,他利用路由器的漏洞取得用戶端電腦的網卡卡號,然後再使用 Firefox Location-Aware Browsing 的功能,就可以在不知不覺的情況下取得使用者所在的位置。不過他的範例只針對特定的路由器才有作用,所以對於一般人倒是還沒有立即的危害。只是取得網卡卡號並不是只有一種方法,所以其所可能衍生的問題依舊不可小覷。 相關連結: Mapping a web browser to GPS coordinates via router XSS + Google Location Services without prompting the user- 10月 24 週日 201011:18
[新奇玩意] 電話來源 Fingerprinting
資訊安全專家 Bruce Schneier 日前在他個人的部落格發表了一篇文章,提到了一個可以用來分析電話來源的小工具 - PinDr0p。根據部落格的內容指出,這個工具雖然沒有辦法分辨出電話來源的所在區域或 IP 位址,但是它可以用來判斷不同的電話之間是否來自同一個所在地。也就是說如果該程式知道你日常往來銀行客服電話的特徵,那麼它就可以判斷出日後宣稱來自該銀行的電話是否符合之前的特徵,也就是說它可以避免使用者接到由其他地方發出的詐騙電話而不自知。雖然 Bruce Schneier 宣稱每一個電話來源只要經過 5 次的取樣就可以達到日後 100% 的準確率,但是如何轉換成為可行的系統,而且在實際的環境下又能有多好的成效,就讓我們拭目以待吧。 1
