Immagine: ZDNet
Google ha patchato un bug nel suo servizio Foto che avrebbe consentito una minaccia nociva attore dedurre geo-localizzazione dettagli sulle immagini di un utente è stata la memorizzazione nel loro account Google Foto.
L’attacco è quello che i ricercatori di sicurezza di chiamare un browser canale laterale perdita.
Funziona ingannando gli utenti di una minaccia attore del sito web in cui il codice JavaScript dannoso sonde Url per sezioni private di un utente di conti on-line e la misurazione della dimensione del tempo e il sito web di destinazione per rispondere, anche con un classico “accesso negato” di risposta.
L’attaccante misure e confronta queste risposte per determinare se alcuni artefatti esiste un account privato.
Questo è come Imperva ricercatore di sicurezza Ron Masas scoperto questo Google Foto di image metadata perdita.
Il ricercatore ha creato un script JS che sarebbe sonda Google Foto di funzionalità di ricerca. Una volta che un utente atterrato su un sito web dannoso, lo script sarebbe utilizzare il browser dell’utente come un proxy per l’invio di richieste e di ricerca attraverso un loro account Google Foto.
Per esempio, Masas ha detto ha usato una query di ricerca di “foto di me da Islanda” per determinare se l’utente avesse mai visitato l’Islanda.
Masas è stato in grado di farlo, per misurare le dimensioni di risposta HTTP e il tempo impiegato Google Foto di rispondere a queste query di ricerca, anche se non effettivi foto private sono mai stati restituiti.
Ha usato anche intervalli di date per affinare le query di ricerca per accertare se il bersaglio più probabile visitato un luogo particolare. Altri dati potrebbero essere state dedotte nello stesso modo, con l’aiuto di altre query di ricerca.
Questo tipo di attacco è ora bloccato in Google Foto, ma ci sono molti altri servizi che gli aggressori possono bersaglio e sifone piccoli dettagli di una vittima giorno per giorno la vita-come Dropbox, iCloud, Gmail, Twitter e altro.
Facebook patch browser simili a canale laterale attacco del mese scorso, anche dopo una relazione Masas. Proprio come oggi Google Foto attacco, Masas ha trovato un Facebook endpoint che poteva query e dedurre dettagli su privati Facebook le foto e il luogo in cui erano state adottate.
Per essere chiari, il browser, il canale laterale attacchi sono molto intelligenti, ma hanno bisogno di un sacco di per ogni vittima di fine-tuning, che li rende inutile per la messa operazioni di raccolta. Tuttavia, essi sono molto utili per gli aggressori di stalking da parte di un target particolare.
Più vulnerabilità di report:
Grave bug di sicurezza popolare libreria PHP per la creazione di PDF filesMicrosoft Marzo martedì delle Patch viene fornito con correzioni per due Windows zero-day
Nuovo BitLocker attacco mette portatili conservazione di dati sensibili a riskMicrosoft per risolvere romanzo di bug classe’ scoperto da Google engineerFujitsu tastiera wireless modello vulnerabili di battitura iniezione attacksProof-of-concept code pubblicato per Windows 7 da zero dayDJI correzioni di vulnerabilità che consentono di potenziali hacker spiare droni CNETTop 10 app vulnerabilità senza Patch, i plugin e le estensioni dominare TechRepublic
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati