A lakáscímet is levadássza a hacker

A lengyel Samy Kamkar, aki korábban egy, a MySpace közösségi oldalon terjedő kártevőt készített, mellyel egymillió új ismerősre tett szert a szájton egyetlen nap alatt. Ezúttal arra talált megoldást, hogyan lehet valakinek a lakáscímét megszerezni egy trükkös kódot tartalmazó weboldallal. Kamkar a Defcon hackerkonferencián tartott előadásában egy olyan támadási módszert mutatott be, amellyel meg lehet állapítani egy otthonról, wifi routeren keresztül internetező felhasználó tartózkodási helyét - számolt be a BBC.

Trükkös honlap kell a címszerzéshez

A támadás sikeres véghez viteléhez rá kell venni az áldozatot, hogy keressen fel egy olyan honlapot, amelyen egy trükkös szoftverkódot rejtettek el, s azon klikkeljen rá egy linkre. A trükközéssel a felhasználó otthonában működő router hálózati azonosítóját (MAC címét) lehet megszerezni, amely alapesetben külső személy számára nem elérhető, legfeljebb a hálózati eszköz gépházára van ráírva. A hacker arra talált megoldást, hogy miként tud egy külső fél is hozzáférni ehhez, bár az eljárás nem mindegyik, csak bizonyos routerek esetében működik.

Az eszköz MAC-cím birtokában online adatbázisokból Kamkar képes volt lekérni a hálózati eszköz fizikai tartózkodási helyét optimális esetben akár kilenc méteres pontossággal. Ezt a címet utána a Firefox böngésző geolokációs, vagyis a felhasználó tartózkodási helyének automatikus meghatározására képes funkciójával való manipulálásra használta fel, amely a Google adatbázisát használja működéséhez.

Adatbázis adja meg a konkrét címet

Ez utóbbi elkészítéséhez a Google a Street View panorámaképeket rögzítő autók által rögzített wifi-, és mobilhálózati adatok szolgáltak, melyek szabadon ugyan ne érhetők el, ám a hacker által kifundált módon nem csak a saját, hanem más felhasználók tartózkodási helyét is meg lehet állapítani ezekkel - ha az adott régión elérhetők a Google autói által rögzített adatok. Kamkar bemutatója során egy amerikai színésznő, Anna Faris tartózkodási helyét szerezte meg módszerével.

A hacker által kidolgozott eljárásról a biztonsági szoftvereket fejlesztő F-Secure cég vezetője, Mikko Hyppönen úgy nyilatkozott, hátborzongatónak tartja, hogy ilyesmit véghez lehet vinni a neten keresztül. Ugyanakkor a szakember szerint az eljárás inkább célzottan, például zaklatáshoz használható fel, nem pedig tömeges támadásokhoz. Hyppönnen szerint a hacker bemutatója jól példázza, hogy mekkora felelősség hárul a Google-re, és a hasonló geolokációs szolgáltatásokat üzemeltető cégekre, saját adatbázisuk, ezáltal pedig a felhasználói adatok védelme szempontjából.