Billede: ZDNet
Google har patchet en fejl i sine Fotos service, der kunne have tilladt en ondsindet trussel skuespiller til at udlede geo-location oplysninger om billeder, at en bruger var at gemme sig i deres Google-Fotos-konto.
Angrebet er hvad sikkerhed, som forskerne kalder en browser-side-kanal lækage.
Det virker ved at lokke brugere på en trussel skuespilleren ‘ s hjemmeside, hvor skadelig JavaScript-kode sonder Webadresser for private dele af en brugers online-konti og derefter måle størrelsen og tidspunktet målet hjemmeside tager at reagere –selv med en klassisk “adgang nægtet” svar.
Angriberen foranstaltninger, og sammenligner disse svar med henblik på at afgøre, om visse artefakter der findes i en brugers private konto.
Dette er, hvordan Imperva sikkerhed forsker Ron Masas opdagede denne Google-Billeder billede metadata lækage.
Forskeren skabt en JS-script, der ville søge på Google Billeder, søge funktion. Når en bruger landede på et ondsindet websted, script ville bruge brugerens browser som en proxy for afsendelse af anmodninger og søger gennem en thei Google Fotos konto.
For eksempel, Masas sagde at han brugte en søgning på “billeder af mig fra Island” til at afgøre, om brugeren havde besøgt Island.
Masas var i stand til at gøre dette ved at måle størrelsen af HTTP-svar og tid, det tog, Google Billeder til at reagere på disse søgninger, selv hvis ingen af de faktiske private fotos nogensinde vendte tilbage.
Han brugte også dato intervaller for at forfine en søgning for at fastslå, når målet var sandsynligvis besøgt et bestemt sted. Andre data, der kunne have været udledes på samme måde med hjælp af andre søgninger.
Denne type angreb er nu blokeret i Google Billeder, men der er mange andre tjenester, som angribere kan målrette og sifon små detaljer om et offer, er dag-til-dag liv –såsom Dropbox, iCloud, Gmail, Twitter og mere.
Facebook lappet en lignende browser side-kanal angreb i sidste måned, også efter at en rapport fra Masas. Ligesom i dagens Google Fotos angreb, Masas fundet en Facebook endpoint, at han kunne søge og udlede oplysninger om private Facebook-billeder og det sted, hvor de var blevet taget.
For at være klar, browser-side-channel attacks er meget kloge, men de kræver en masse af per-offer fine-tuning, hvilket gør dem ubrugelige for masse høstningen. Ikke desto mindre, de er ganske nyttigt for fjernangribere stalking et bestemt mål.
Mere sårbarhed rapporter:
Alvorlige sikkerhedsmæssige fejl, der findes i populære PHP-bibliotek til at oprette PDF-filesMicrosoft Marts Patch tirsdag kommer med rettelser til Windows nul-dage
Nye BitLocker angreb sætter bærbare computere til at gemme følsomme data på riskMicrosoft at lave en “ny bug klasse’ opdaget af Google engineerFujitsu wireless keyboard model sårbare over for tastetryk injektion attacksProof-of-concept kode, der offentliggøres for Windows 7 nul-dayDJI rettelser svaghed, at lade potentielle hackere spion på droner CNETTop 10 app sårbarheder: Unpatched plugins og udvidelser dominere TechRepublic
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre