В целом, сервисы Google достаточно безопасны. Однако сегодня стало известно об уязвимости в Google Фото, которая потенциально могла раскрыть историю местоположений до того, как была исправлена.
Компания Imperva, специализирующаяся на безопасности, сегодня сообщила об уязвимости безопасности в Google Фото, которая могла предоставить злоумышленникам доступ к истории местоположений пользователей. На момент публикации информации об уязвимости, Google уже устранил эту проблему.
Сама атака была основана на использовании браузера и требовала, чтобы пользователи были обмануты и посетили вредоносный веб-сайт, одновременно войдя в Photos через веб-интерфейс. Однако, учитывая усилия, необходимые злоумышленнику, эта уязвимость, вероятно, никогда не использовалась в крупномасштабных атаках.
Тем не менее, мы рады видеть, что Google исправил проблему. В конце концов, эта уязвимость безопасности могла раскрыть историю местоположений пользователя. Как поясняет Imperva:
В моей демонстрации я использовал HTML-тег ссылки для создания нескольких междоменных запросов к конечной точке поиска Google Фото. Используя JavaScript, я затем измерил время, которое потребовалось для срабатывания события onload. Я использовал эту информацию для расчета базового времени — в данном случае, измеряя время поискового запроса, который, как я знаю, не вернет результатов.
Затем я измерил время следующего запроса «фотографии меня из Исландии» и сравнил результат с базовым. Если время поиска было больше базового, я мог предположить, что запрос вернул результаты, и, следовательно, сделать вывод, что текущий пользователь посетил Исландию… Добавляя дату к поисковому запросу, я мог проверить, было ли фото сделано в определенный временной интервал. Повторяя этот процесс с разными временными интервалами, я мог быстро приблизительно определить время посещения конкретного места или страны.
Подробнее о Google Фото:
- Google Фото официально запускает «Express backup» и ограничения по данным, которые появятся в большем количестве стран
- Ошибка Android TV могла предоставить доступ к личным Google Фото других пользователей
- Федеральный судья отклонил иск о конфиденциальности, связанный с распознаванием лиц в Google Фото