TA STRONA UŻYWA COOKIE. Usługodawca oraz jego zaufani partnerzy korzystają z plików cookies i innych technologii automatycznego przechowywania danych do celów statystycznych, reklamowych oraz realizacji usług, w tym również aby wyświetlać użytkownikom najbardziej dopasowane oferty i reklamy.
Usługodawca i jego zaufani partnerzy wymagają zgody użytkownika na gromadzenie danych w celu obsługi spersonalizowanych treści i ogłoszeń. Jeśli korzystasz ze strony instalki.pl bez zmiany ustawień przeglądarki, to oznacza to, że nie wyrażasz sprzeciwu co do otrzymywania wszystkich plików cookies na swoje urządzenie ze strony instalki.pl.
Dowiedz się więcej o celu ich używania i zmianie ustawień cookie w przeglądarce.
Od dnia 25.05.2018 r. na terenie Unii Europejskiej wchodzi w życie Rozporządzenie Parlamentu Europejskiego w sprawie ochrony danych osobowych. Prosimy o zapoznanie się z regulaminem oraz polityką prywatności serwisu  [X]
Instalki.pl » Aktualności » Bezpieczeństwo » Luka w Google Photos pozwalała na zdobycie informacji o lokalizacji użytkownika
Czwartek, 21 Marzec 2019 09:55, Wpisany przez BS
google photosNajpierw Facebook, teraz Google.

Zdobycie informacji o nas często jest stosunkowo prosto dzięki różnego rodzaju lukom i błędom w niektórych z setek używanych przez nas programów. Naukowcy ujawnili niedawno odkrytą (i już załataną) lukę w Google Photos, która pozwalała hakerom zdobyć informacje o naszej lokalizacji. Była ona jednak stosunkowo niegroźna.

Ron Masas z firmy Imperva (ten sam, który na początku miesiąca wskazał błąd Messengera pozwalający zdobyć informacje o tym z kim rozmawiamy) wyjaśnił, że aplikacja Google Photos była podatna na atak synchronizacyjny oparty na przeglądarce, który wykorzystywał tak zwany Cross-Site Search (XS-Search). Wykorzystując różne polecenia i odpowiedzi zwrotne Zdjęć mógł on określić czy dany użytkownik był w jakimś miejscu, a także w jakim przedziale czasu mogło się to wydarzyć. 

Podatność ta spowodowana była dostępem do metadanych zdjęć (lokalizacja, data itp.) poprzez kanały boczne. Dzięki tym informacjom haker mógł ustalić gdzie i kiedy gdzieś byliśmy. Są jednak powody, dla których wykorzystanie tej metody nie byłoby zbyt powszechne. 

Powód? aby móc przeprowadzić ten atak, użytkownik musiałby otworzyć złośliwą witrynę po zalogowaniu się do Zdjęć Google. Umieszczony na stronie kod JavaScript mógłby wtedy wysyłać żądania wyszukiwania zdjęć po metadanych i gromadząc odpowiedzi byłby w stanie określić czy ofiara była gdzieś w danym przedziale czasu. 

Oczywiście nie jest to jednak takie proste. Samo skłonienie ofiary do wejścia na stronę nie jest specjalnie trudne, jednak wymuszenie wcześniejszego logowania do Zdjęć Google może już nastręczać niemałe problemy. Jest to oczywiście do zrobienia, ale informacje, które można w ten sposób zdobyć nie są warte takiego zachodu

Masas kolejny raz zaznacza, że ataki typu side-channel bazujące na właściwościach przeglądarki wciąż są często przeoczane. Giganci internetowi pokroju Facebooka czy Google mogą sobie bez większego problemu z tym poradzić - na przykład szybko łatając lukę - jednak większość branży nadal nie jest świadoma zagrożenia. 

Źródło: Imperva