Portal bezpiecznego e-biznesu

Hakerzy wykorzystywali lukę w Google Photos

 Hakerzy wykorzystywali lukę w Google Photos

Lexlab Bezpieczne regulaminy sklepów i serwisów internetowych Wycena usługi

Ujawniono niedawno odkrytą lukę w Google Photos, która pozwalała hakerom zdobyć informacje o lokalizacji użytkownika. Była ona stosunkowo niegroźna, szczęśliwie została już załatana.

Hakerzy wykorzystywali lukę w Google Photos

Specjaliści od cyberbezpieczeństwa donieśli o kolejnej luce w aplikacji Google, która zagrażała bezpieczeństwu użytkowników. O sprawie poinformował Ron Masas z firmy Imperva. To ten sam specjalista, który na początku miesiąca wskazał błąd Messengera pozwalający zdobyć informacje o tym z kim rozmawiamy.

Aplikacja Google Photos okazała się podatna na atak synchronizacyjny oparty na przeglądarce, który wykorzystywał tak zwany Cross-Site Search (XS-Search). Wykorzystując różne polecenia i odpowiedzi zwrotne Google Photos mógł on określić, czy dany użytkownik był w jakimś miejscu, a także w jakim przedziale czasu mogło się to wydarzyć. Było to spowodowane dostępem do metadanych zdjęć (lokalizacja, data itp.) poprzez kanały boczne. Dzięki tym informacjom haker mógł ustalić, gdzie i kiedy gdzieś byliśmy.

Na szczęście sposób skorzystania przez hakera z tej podatności wcale nie był prosty. Użytkownik musiałby otworzyć złośliwą witrynę po zalogowaniu się do Google Photos. Umieszczony na stronie kod JavaScript mógłby wtedy wysyłać żądania wyszukiwania zdjęć po metadanych i gromadząc odpowiedzi byłby w stanie określić, czy ofiara była gdzieś w danym przedziale czasu. Samo skłonienie ofiary do wejścia na stronę nie jest specjalnie trudne, jednak wymuszenie wcześniejszego logowania do Google Photos może już nastręczać niemałe problemy. Jest to oczywiście do zrobienia, ale informacje, które można w ten sposób zdobyć nie są warte takiego zachodu.

Ron Masas podkreśla, że ataki typu side-channel bazujące na właściwościach przeglądarki wciąż są często przeoczane. Giganci internetowi jak Facebook czy Google mogą sobie bez większego problemu z tym poradzić, na przykład szybko łatając wykrytą lukę. Większość branży jednak nadal nie jest świadoma zagrożenia.

źródło: Imperva

Komentarze

‹ Poprzedni artykułMałe biznesy - duże ryzyko? Następny artykuł ›Jak działa lokata bez konta? Praktyczny poradnik

Newsletter

Bądź zawsze na bieżąco, czuj się bezpiecznie w sieci. Wcale nie spam. Zapisz się do Newslettera.

Adwokat Art. 178A KK Katowice

Legalniewsieci.pl © 2024. Realizacja: Bling SH. Kodowanie: weboski.

Legalman

Logowanie


Nie masz jeszcze konta?

Zachęcamy do założenia konta.
Rejestracja zajmie Ci tylko chwilę.
Zarejestruj się