Google Photos’dagi joylashuv ma’lumotlarini oshkor qilishdagi zaiflik.
Ushbu zaiflik brauzerda yon kanal oqishini yuzaga keltirdi.
Google Google Photos’dagi foydalanuvchilarning fotosuratlaridan geolokatsiya ma’lumotlarini oshkor qilgan zaiflikni tuzatdi. Xususan, zaiflik brauzerda yon kanal oqishini keltirib chiqarishi mumkin edi. Hujum quyidagicha ishlaydi: Birinchidan, tajovuzkor jabrlanuvchini o‘z veb-saytiga jalb qiladi, u yerda maxsus JavaScript kodi ularning akkauntlaridagi shaxsiy sahifalarining URL manzillariga ulanishga harakat qiladi. Keyin tajovuzkor maqsadli saytning javoblarni yuborish uchun sarflagan vaqtini va javoblarning o‘z hajmini (hatto javob «kirish taqiqlangan» bo‘lsa ham) tahlil qiladi va jabrlanuvchining akkauntidagi aniq artefaktlarni aniqlash uchun ushbu ko‘rsatkichlarni taqqoslaydi.
Imperva tadqiqotchisi Ron Masas Google Photos qidiruv funksiyasidan foydalanish uchun JavaScript kodini yozdi. Foydalanuvchi brauzeridan proksi sifatida foydalangan holda zararli veb-saytga kirgandan so’ng, JavaScript kodi so’rovlar yubordi va ularning Google Photos akkauntida qidiruv o’tkazdi.
Masalan, Masas jabrlanuvchining Islandiyaga tashrif buyurgan-qilmaganligini aniqlash uchun «mening Islandiyadagi fotosuratlarim» qidiruv so’rovidan foydalangan. Buning uchun tadqiqotchi HTTP javob hajmini o’lchagan va xizmatning ushbu so’rovga javob berish uchun qancha vaqt ketganini aniqlagan, hatto javobda so’ralgan fotosuratlar bo’lmasa ham. Masas shuningdek, jabrlanuvchining eng ko’p tashrif buyuradigan joylarini aniqlash uchun so’rovga sanalarni ham kiritgan.
Bunday yon kanalli hujumlar foydalanuvchilar haqidagi ko’plab shaxsiy ma’lumotlarni oshkor qilishi mumkin bo’lsa-da, ular har bir jabrlanuvchiga shaxsiylashtirilgan yondashuvni talab qiladi va ommaviy ma’lumotlarni to’plash uchun yaroqsiz. Biroq, bunday hujumlar ma’lum bir nishonga qaratilgan hujumchilar uchun juda foydali bo’lishi mumkin.
Google Photos’dagi zaiflik allaqachon tuzatilgan, ammo u Dropbox, iCloud, Gmail, Twitter va boshqa boshqa xizmatlarga ham ta’sir qilishi mumkin. O‘tgan oy Facebook’da shunga o‘xshash muammo hal qilindi.
