18:12
1164
0
21.03.2019

Ошибка в Гугл Фото позволяла раскрыть данные пользователей

Приложение Google Фото содержало критическую уязвимость, которая могла раскрыть идентифицирующие данные о жертве и ее близких.

Исправленный уже недостаток является еще одним примером атак по побочным каналам на основе браузера, пишет Engadget

Рон Мазес из охранной компании Imperva объясняет в своем блоге, что Google Photos была уязвима к атакам по времени, которые могли использовать данные изображения для того, чтобы определить приблизительное время посещение определенного места или страны. 

 

 

Приложение получает геолокационные данные о месте создания снимка, так благодаря работе технологии распознавания лиц еще и узнает, кто именно запечатлен на конкретной фотографии. Если речь идет о фотографиях ребенка, Google Фото может отслеживать изменения в его внешности.

Однако, чтобы эта атака работала, пользователь должен был открыть вредоносный веб-сайт при входе в Google Фото, а хакеру пришлось бы приложить определенные усилия для атаки, так что это никогда не было массовой проблемой. Тем не менее, по его словам, любой, "кто понимает, как использовать cross-origin запросы и JavaScript, сможет получить данные".

Однако, как отмечает Мазес, недавно обнаруживший аналогичную уязвимость в Facebook Messenger, атаки на побочные каналы в браузере по-прежнему регулярно игнорируются.

 

"Хотя крупные игроки, такие как Google и Facebook, понимают это, большая часть индустрии до сих пор не знает", - сказал он.

Обсуждение

Please enter the letters as they are shown in the image above.
Letters are not case-sensitive.