Ron Masas z firmy Imperva (ten sam, który na początku miesiąca wskazał błąd Messengera pozwalający zdobyć informacje o tym z kim rozmawiamy) wyjaśnił, że aplikacja Google Photos była podatna na atak synchronizacyjny oparty na przeglądarce, który wykorzystywał tak zwany Cross-Site Search (XS-Search). Wykorzystując różne polecenia i odpowiedzi zwrotne Zdjęć mógł on określić czy dany użytkownik był w jakimś miejscu, a także w jakim przedziale czasu mogło się to wydarzyć.
Powód? aby móc przeprowadzić ten atak, użytkownik musiałby otworzyć złośliwą witrynę po zalogowaniu się do Zdjęć Google. Umieszczony na stronie kod JavaScript mógłby wtedy wysyłać żądania wyszukiwania zdjęć po metadanych i gromadząc odpowiedzi byłby w stanie określić czy ofiara była gdzieś w danym przedziale czasu.
Oczywiście nie jest to jednak takie proste. Samo skłonienie ofiary do wejścia na stronę nie jest specjalnie trudne, jednak wymuszenie wcześniejszego logowania do Zdjęć Google może już nastręczać niemałe problemy. Jest to oczywiście do zrobienia, ale informacje, które można w ten sposób zdobyć nie są warte takiego zachodu.
Masas kolejny raz zaznacza, że ataki typu side-channel bazujące na właściwościach przeglądarki wciąż są często przeoczane. Giganci internetowi pokroju Facebooka czy Google mogą sobie bez większego problemu z tym poradzić – na przykład szybko łatając lukę – jednak większość branży nadal nie jest świadoma zagrożenia.
Źródło: Imperva