Вразливість у «Google Фото» дозволяла розсекретити дані користувачів

Захопившись пошуками недоліків у програмних продуктах конкурентів, Google, здається, абсолютно забула про забезпечення безпеки своїх власних. Як з'ясували дослідники компанії Imperva, додаток «Google Фото» містив критичну вразливість, яка при належних навичках зловмисника могла розкрити ідентифікуючі дані про жертву і її близьких, у тому числі відомості про місця і час перебування, що, за логікою, має бути суворо засекречено.

За словами Рона Масаса, дослідника Imperva, вразливість, про яку йдеться, приховувалася в механізмі обробки метаданих «Google Фото». Мало того, що додаток отримує геолокаційні дані про місце створення знімка, так завдяки роботі технології розпізнавання облич ще й дізнається, хто саме зображений на конкретній фотографії. Якщо мова йде про фотографії дитини, «Google Фото» може навіть відстежувати зміни в її зовнішності, які відбуваються з роками.

Зламати акаунт Google

Велика частина всієї інформації, яку отримує «Google Фото», прив'язується до облікового запису користувача, звідки їх при належному зноруванні можна запросто витягти. Після декількох проб і помилок, зізнається Масас, йому вдалося знайти оптимальний спосіб виїмки даних про всі подорожі жертви, її переміщення по місту, дітях, їх іменах і зовнішності. За великим рахунком, зізнається дослідник, будь-хто, хто розуміє, як використовувати cross-origin запити і JavaScript, зможе виконати те ж саме.

На момент виходу публікації вразливість в «Google Фото» була виправлена. Відповідно до прийнятого в середовищі дослідників у галузі кібербезпеки правила, будь-хто, хто виявив уразливість у програмному продукті, повинен повідомити про неї автора і не надавати отриману інформацію розголосу протягом 90 днів. Передбачається, що цього часу має з лишком вистачити на усунення навіть найнебезпечнішої прогалини.

Підпишися на наш канал в Яндекс.Дзен, щоб не пропустити все найцікавіше.