Image: ZDNet
Google a corrigé un bug dans son service Photos qui auraient permis une menace malveillants acteur de déduire de la géo-localisation de détails sur les images d’un utilisateur était de stocker dans leur Google Photos compte.
L’attaque est ce que les chercheurs en sécurité d’appel d’un navigateur canal de fuite.
Il fonctionne en attirant les utilisateurs sur la menace de l’acteur d’un site web où le code JavaScript malicieux des sondes d’Url pour la partie privée de l’utilisateur en ligne comptes, puis la mesure de la taille et des objectifs, le site web met à répondre, même avec un classique “accès refusé” réponse.
L’attaquant mesures et les compare ces réponses afin de déterminer si certains artefacts existent dans d’un utilisateur à un compte privé.
C’est de cette façon Imperva chercheur en sécurité Ron Sics découvert ce Google Photos de métadonnées de l’image de la fuite.
Le chercheur a créé un script JS qui permettrait de sonder le Google des Photos de fonction de recherche. Une fois qu’un utilisateur a atterri sur un site web malveillant, le script serait d’utiliser le navigateur de l’utilisateur comme un proxy pour l’envoi des demandes et à la recherche par le biais d’un thei Google Photos compte.
Par exemple, Sics a dit qu’il a utilisé une requête de recherche “photos de moi, de l’Islande” pour déterminer si l’utilisateur a déjà visité l’Islande.
Sics a été en mesure de le faire par la mesure de la taille de la réponse HTTP et le temps qu’il a fallu Google Photos de répondre à ces requêtes de recherche, même si pas de photos privées a jamais été renvoyé.
Il a également utilisé des intervalles de date pour affiner la requête de recherche afin de déterminer si la cible a plus de chances visité un endroit particulier. D’autres données pourraient avoir été déduit de la même manière avec l’aide d’autres requêtes de recherche.
Ce type d’attaque est maintenant bloqué dans Google Photos, mais il y a beaucoup d’autres services que les attaquants peuvent cibler et siphon de petits détails au sujet de la victime au jour le jour la vie, tels que Dropbox, iCloud, Gmail, Twitter, et plus encore.
Facebook patché similaire navigateur canal latéral attaque du mois dernier, également après un rapport de Sics. Tout comme aujourd’hui dans Google Photos attaque, Sics trouvé un Facebook extrémité qu’il pourrait requête et d’en déduire des détails sur privé Facebook des photos et l’endroit où elles avaient été prises.
Pour être clair, le navigateur, le canal latéral attaques sont très intelligents, mais ils exigent beaucoup de per-victime de réglage fin, ce qui les rend inutilisables pour la messe de la moisson. Néanmoins, elles sont très utiles pour les attaquants traque une cible particulière.
Plus les rapports des failles:
De graves failles de sécurité trouvés dans les bibliothèque PHP pour la création de PDF filesMicrosoft Mars Patch Tuesday est livré avec des correctifs pour les deux Fenêtres zéro jours
Nouveau BitLocker attaque met les ordinateurs portables de stocker des données sensibles à des riskMicrosoft de fixer le roman de bug de la classe de découverte par Google engineerFujitsu clavier sans fil modèle vulnérables à la frappe d’injection attacksProof-de-concept de la publication d’un code pour Windows 7 zéro dayDJI corrige une vulnérabilité qui permettent à des pirates potentiels espionner les drones CNETTop 10 app vulnérabilités: non corrigés des plugins et des extensions de dominer TechRepublic
Rubriques Connexes:
De sécurité de la TÉLÉVISION
La Gestion Des Données
CXO
Les Centres De Données