✔Баг в Google Photos позволял следить за геолокацией пользователей - «Новости»

23 марта 2019 649 Новости 0

Рекомендуем почитать:

Xakep #239. Вскрыть и изучить

Содержание выпуска

Подписка на «Хакер»

Специалист компании Impreva Рон Масас (Ron Masas) обнаружил в Google Photos проблему, которую можно описать как браузерную атаку по стороннему каналу (side-channel), приводящую к утечке данных.

Для эксплуатации бага злоумышленник должен был заманить жертву на свой вредоносный сайт, где специальный код jаvascript «прощупывал» определенные URL, связанные с учетной записью пользователя в Google Photos. Скрипт полагается на время и размер полученных ответов (даже если это ответ «доступ запрещен»), дабы выявить определенные артефакты учетной записи.

Созданный Масасом PoC-эксплоит злоупотреблял функциональностью поиска по Google Photos. Фактически вредоносный скрипт исследователя использовал браузер жертвы в качестве прокси для поиска по фотографиям Google Photos. Оценивая размер и время получения HTTP-ответов, исследователь мог определить, есть ли среди фотографий пользователя что-то, к примеру, отвечающее поисковому запросу «мое фото из Исландии». Таким образом, преступник, следящий за конкретной жертвой, мог установить, где бывала или не бывала его цель.

Хотя проблема в Google Photos уже была устранена, эксперт предупреждает, что похожей уязвимости могут быть подвержены и другие сервисы (Dropbox, iCloud, Gmail, Twitter), что позволит потенциальному преступнику по кусочкам собрать множество различной информации о своей жертве.

Стоит заметить, что аналогичную проблему в конце прошлого года уже устранили разработчики Facebook, причем обнаружил ее тоже Рон Масас.

Источник новости - google.com

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.