Afbeelding: ZDNet
Google heeft gepatcht een bug in de Foto-service die zou hebben toegestaan kwaadaardige bedreiging acteur af te leiden geo-locatie-informatie over de beelden van een gebruiker opslaan in hun Google-Foto ‘ s account.
De aanval is wat security onderzoekers noemen een browser side-channel lek.
Het werkt door het lokken gebruikers op een bedreiging acteur website waar kwaadaardige JavaScript-code sondes Url ‘ s voor privé-gedeelten van een gebruiker online accounts en vervolgens het meten van de omvang en het tijdstip van de doelgroep website neemt om te reageren, zelfs met een klassieke “toegang geweigerd” reactie.
De aanvaller meet en vergelijkt deze reacties om te bepalen of bepaalde artefacten bestaan in van een gebruiker persoonlijke account.
Dit is hoe Imperva security-onderzoeker Ron Masas ontdekte de Google Foto ‘ s, de metadata lek.
De onderzoeker gemaakt van een JS script dat zou sonde de Google Foto ‘ s te zoeken. Als een gebruiker eenmaal geland op een kwaadaardige website, het script zou gebruik de browser van de gebruiker als een proxy voor het verzenden van verzoeken en het zoeken door een thei Google Foto ‘ s account.
Bijvoorbeeld, Masas zei hij gebruikt een zoekopdracht van “foto’ s van mij uit Ijsland” om te bepalen of de gebruiker had ooit een bezoek aan Ijsland.
Masas was in staat om dit te doen door het meten van de grootte van de HTTP-reactie en de tijd nam Google de Foto ‘s om te reageren op deze zoekopdrachten, zelfs als er geen werkelijke privé-foto’ s waren ooit terug.
Hij gebruikte ook de datum intervallen om de zoekopdracht te verfijnen query om na te gaan wanneer het doel was waarschijnlijk een bezoek aan een bepaalde plaats. Andere gegevens kunnen zijn opgenomen in de dezelfde manier, met de hulp van andere zoekopdrachten.
Dit type aanval is nu geblokkeerd in Google Foto ‘ s, maar er zijn vele andere diensten die aanvallers kunnen richten en sifon kleine details over een slachtoffer van-dag-tot-dag leven, zoals Dropbox, iCloud, Gmail, Twitter, en nog veel meer.
Facebook herstelde een vergelijkbare browser side-channel attack vorige maand, ook na een rapport van Masas. Net als in het huidige Google-Foto ‘s aanval, Masas vond een Facebook eindpunt dat hij kon query en zijn afgeleid van gegevens over de eigen Facebook-foto’ s en de locatie waar ze zijn genomen.
Om duidelijk te zijn, browser side-channel aanvallen zijn erg slim, maar ze vereisen veel van per-slachtoffer fine-tuning, waardoor ze nutteloos voor de massa oogsten activiteiten. Toch zijn ze heel nuttig zijn voor de aanvallers stalking een bepaald doel.
Meer kwetsbaarheid rapporten:
Ernstige security bug gevonden in de populaire PHP-bibliotheek voor het maken van PDF-filesMicrosoft Maart Patch dinsdag komt met oplossingen voor twee Windows zero-dagen
Nieuwe BitLocker aanval zet laptops opslaan van gevoelige gegevens in riskMicrosoft op te lossen ‘roman bug klasse’ ontdekt door Google engineerFujitsu draadloos toetsenbord model kwetsbaar voor toetsaanslag injectie attacksProof-of-concept code gepubliceerd voor Windows 7 nul-dayDJI correcties kwetsbaarheid waarmee potentiële hackers spy drones op CNETTop 10 app kwetsbaarheden: Ongepatchte plug-ins en extensies domineren TechRepublic
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters