آسیب‌پذیری Google Photos، موجب دسترسی هکرها به ابرداده تصاویر از جمله اطلاعات مکانی می‌شود.

آسیب‌پذیری Google Photos، موجب دسترسی هکرها به ابرداده تصاویر از جمله اطلاعات مکانی می‌شود.

گوگل یک اشکال را در سرویس Google Photos خود وصله کرده است که می‌تواند به مهاجمان اجازه دهد که اطلاعات جغرافیایی مربوط به تصاویری را که کاربر در حساب Google Photos خود ذخیره کرده است را به دست آورد. محققان امنیتی نام این نوع از حملات را نشت کانال سمت مرورگر گذاشته‌اند. این کار با تحریک کاربران در وب‌سایت مهاجمان انجام می‌شود که یک کد جاوا اسکریپت مخرب، URLها را برای کاوش بخش‌های خصوصی حساب‌های کاربری آنلاین جستجو می‌کند و سپس اندازه و زمان وب‌سایت هدف را با استفاده از زمان پاسخگویی وب‌سایت محاسبه می‌کند که این کار معمولاً با استفاده از “access denied” انجام می‌شود. بعد مهاجم این پاسخ‌ها را محاسبه و مقایسه می‌کند تا مشخص شود که آیا چیزهای ساختگی خاصی در حساب خصوصی شخصی کاربر وجود دارد یا خیر. این همان روشی است که Ron Masas ، محقق امنیتی Imperva، این نشت فراداده تصویر را در Google Photos را کشف کرد. این محقق یک کد جاواسکریپت ایجاد کرد که ویژگی جستجو موجود در Google Photos را بررسی می‌کرد. هنگامی‌که یک کاربر به وب‌سایتی مخرب وارد می‌شود، این اسکریپت از مرورگر کاربر به عنوان یک پروکسی برای ارسال درخواست‌ها و جستجوی در حساب thei Google Photos استفاده می‌کند. به عنوان مثال، Masas با جستجو کردن جستار "عکس من از ایسلند" می‌تواند بفهمد که آیا کاربر تا به حال از ایسلند بازدید کرده است یا نه. Masas توانست این کار را با محاسبه اندازه پاسخ HTTP و زمان پاسخ Google Photos به این پرسش‌های جستجو انجام دهد، حتی اگر هیچ عکس خصوصی تا به حال بازگردانده نشده باشد. او همچنین از فواصل زمانی برای اصلاح مؤلفه‌های جستجو استفاده کرد تا اطمینان حاصل کند که هدف به احتمال زیاد از یک مکان خاص بازدید کرده است. داده‌های دیگر هم از جمله تاریخ گرفتن عکس را می‌توان با کمک سایر مؤلفه‌های جستجو به همان شیوه بدست آورد. این نوع حمله در حال حاضر در Google Photos مسدود شده است، اما سرویس‌های دیگری نیز وجود دارد که مهاجمان می‌توانند اطلاعات جزئی درباره زندگی روزمره قربانی را به همین شکل، هدف قرار دهند. مانند Dropbox، iCloud، Gmail، Twitter و غیره. همچنین فیس‌بوک یک حمله مشابه از نوع کانال سمت مرورگر ماه گذشته وصله کرد و مشابه حمله امروز Google Photos، Masas یک نقطه پایانی فیس‌بوک را پیدا کرده که می‌تواند اطلاعات و جزئیاتی را درباره عکس‌های خصوصی فیس‌بوک و موقعیت مکانی گرفته شدن آن‌ها، جستجو کند. حملات کانال سمت مرورگر بسیار هوشمندانه هستند، اما آنها نیاز به تنظیمات دقیق مخصوص هر قربانی دارند، و برای عملیات جمع آوری جمعی بی فایده هستند. با این وجود این حملات برای مهاجمانی که هدف خاصی را دنبال می کنند، بسیار مفید هستند.