Hakerzy wykorzystywali lukę w Google Photos

Specjaliści od cyberbezpieczeństwa donieśli o kolejnej luce w aplikacji Google, która zagrażała bezpieczeństwu użytkowników. O sprawie poinformował Ron Masas z firmy Imperva. To ten sam specjalista, który na początku miesiąca wskazał błąd Messengera pozwalający zdobyć informacje o tym z kim rozmawiamy.

Aplikacja Google Photos okazała się podatna na atak synchronizacyjny oparty na przeglądarce, który wykorzystywał tak zwany Cross-Site Search (XS-Search). Wykorzystując różne polecenia i odpowiedzi zwrotne Google Photos mógł on określić, czy dany użytkownik był w jakimś miejscu, a także w jakim przedziale czasu mogło się to wydarzyć. Było to spowodowane dostępem do metadanych zdjęć (lokalizacja, data itp.) poprzez kanały boczne. Dzięki tym informacjom haker mógł ustalić, gdzie i kiedy gdzieś byliśmy.

Na szczęście sposób skorzystania przez hakera z tej podatności wcale nie był prosty. Użytkownik musiałby otworzyć złośliwą witrynę po zalogowaniu się do Google Photos. Umieszczony na stronie kod JavaScript mógłby wtedy wysyłać żądania wyszukiwania zdjęć po metadanych i gromadząc odpowiedzi byłby w stanie określić, czy ofiara była gdzieś w danym przedziale czasu. Samo skłonienie ofiary do wejścia na stronę nie jest specjalnie trudne, jednak wymuszenie wcześniejszego logowania do Google Photos może już nastręczać niemałe problemy. Jest to oczywiście do zrobienia, ale informacje, które można w ten sposób zdobyć nie są warte takiego zachodu.

Ron Masas podkreśla, że ataki typu side-channel bazujące na właściwościach przeglądarki wciąż są często przeoczane. Giganci internetowi jak Facebook czy Google mogą sobie bez większego problemu z tym poradzić, na przykład szybko łatając wykrytą lukę. Większość branży jednak nadal nie jest świadoma zagrożenia.

źródło: Imperva