Исправленная на сегодня уязвимость позволяет злоумышленникам узнать, где, когда и с кем были сделаны фотографии жертв.

По сообщениям Imperva, теперь исправленная уязвимость в веб-версии Google Photos может позволить киберпреступникам узнать подробности истории фотографий пользователя.

Посредством атак по времени на основе браузера хакеры могут анализировать данные изображения, чтобы узнать, когда человек посещал определенное место. Это не обычная угроза, и она наиболее эффективна в целевом сценарии, однако кто-то мог использовать вредоносный веб-сайт для доступа к фотографиям.

Google Photos много знает о людях, которые его используют. Служба автоматически помечает каждое изображение с помощью метаданных (дата, координаты местоположения), а ее механизм искусственного интеллекта может обнаруживать объекты и события, которые могут указывать на свадьбу, водопад, закат или ряд других мест, объясняет исследователь Imperva Рон Масас. Теги распознавания лиц также присутствуют на фотографиях.

В сочетании с мощной поисковой системой Google Photos эта подробная информация может многое рассказать о том, когда, где и с кем был человек. Все эти данные могут быть использованы в поисковых запросах для поиска определенных фотографий, например: «Фотографии меня и Эшли из Парижа 2018 года».

Масас решил исследовать Google Photos на предмет атак по побочным каналам, когда узнал о возможностях его поиска. Он обнаружил, что конечная точка поиска службы уязвима для атаки, называемой межсайтовым поиском или XS-поиском. В подтверждение своей концепции он использовал тег HTML-ссылки для создания нескольких перекрестных запросов к конечной точке поиска фотографий.

С этим базовым временем Масас запросил «фотографии меня из Исландии» и сравнил их два раза. Если этот поиск займет больше времени, он может сделать вывод, что пользователь посетил Исландию на основании данных. Если бы он добавил дату, он мог бы знать, были ли фотографии сделаны в определенный период времени. Для каждого запрашиваемого места время, превышающее базовое время, указывает на то, что пользователь сделал там фотографии.

Вот как работает эта уязвимость : злоумышленник должен сначала отправить цели злонамеренную ссылку, когда этот человек зарегистрирован в Google Фото, путем встраивания вредоносного JavaScript в веб-рекламу или отправки прямого сообщения по электронной почте или через службу онлайн-обмена сообщениями. Вредоносный код JavaScript создает запросы к конечной точке поиска в Google Photos и извлекает ответы.

«Уязвимость в основном позволяет вам искать разные сайты», — объясняет Масас. Когда вредоносная страница открыта, злоумышленник может неоднократно запрашивать Google Photos в фоновом режиме. «Используя функцию расширенного поиска, я могу задать вам много вопросов», — добавляет он.

Однако, как только жертва закрывает вредоносную страницу, поиск прекращается. «В тот момент, когда вы закрываете сайт, я больше не могу этого делать», — говорит Масас. «Но я могу обмануть вас, чтобы открыть другой сайт в будущем, и могу продолжать оттуда. Это требует, чтобы вы каждый раз открывали сайт».

По его мнению, это не очень сложная атака, но она имеет наибольшую ценность, если хакер специально нацелен на одного человека. Например, кто-то мог использовать это, чтобы определить местонахождение высокопоставленного человека или узнать, с кем он проводил время. Этот тип атаки «очень трудно обнаружить, если вы не ищете его активно», добавляет Масас. Может ли подобная уязвимость существовать в других онлайн-сервисах и приложениях? «Определенно», — отмечает он. Многие разработчики не знают об этой проблеме, и важно, чтобы большие и маленькие сайты узнали о ней.

Это не первый раз, когда Масас раскрывает атаку такого рода. Ранее в этом месяце Facebook исправил уязвимость, обнаруженную им в веб-версии Facebook Messenger, которая позволяла злоумышленникам просматривать людей, с которыми кто-то общался. Точно так же жертва должна быть обманута, чтобы открыть плохую ссылку; ему также пришлось бы кликнуть где-нибудь на странице. Когда открылась новая вкладка, злоумышленник мог использовать предыдущую страницу, чтобы загрузить конечную точку чата в мессенджере и посмотреть, с каким конкретным человеком или ботами общался целевой объект.

Ссылка на источник