В Android и Google Photos обнаружены новые уязвимости, позволяющие украсть данные о пользователях

Original author: SETH COLANER
  • Translation
Недавно исследователи обнаружили две несвязанные друг с другом уязвимости в продуктах Google. Imperva нашла способ провести атаку по сторонним каналам на Google Фото, которая позволяет злоумышленникам собирать информацию о местонахождении, времени и информации из личных учетных записей. Другая уязвимость, найденная Positive Technologies, представляет собой более опасный эксплойт для Android. Он также позволяет получить данные пользователя.

image

Поскольку продукты Google очень популярны, такие уязвимости могут повлиять на сотни миллионов пользователей. По состоянию на май 2017 года в Google Фото было более 500 миллионов пользователей. Android, тем временем, поддерживает более 2 миллиардов устройств, хотя число уязвимых меньше, так как рассматриваемая уязвимость безопасности появилась только ​​в Android KitKat.

Уязвимость, обнаруженная в веб-версии Google Photos, позволяет получить данные места, где было сделан снимок, а также другие метаданные о фотографии. Ron Маsаs из Imperva написал пост в блоге, в котором подробно рассказывал о проблеме и о том, как он ее нашел.
Простыми словами: Из-за того, что можно получить время выполнения любого поискового запроса в Photos, можно получить время выполнения запроса, который дает нулевой результат. Соответственно, можно измерить время запроса по слову «Россия», и если время выполнения поиска отличается от времени нулевого запроса, то человек был в России.
Более подробно - под спойлером
Google Photos использует метаданные ваших изображений вместе с машинным обучением, для создания массива информации. Например, он может распознать лицо вашего сына на фотографии и автоматически пометить его на каждом изображении, на котором он появляется, даже если он растет и меняется с годами — неважно, улыбается ли он, хмурится или даже не смотрит прямо в камеру(прим. переводчика — я сам активно использую Photos, ну прямо очень удобно). Снимки, сделанные с помощью телефона, помечены точной информацией о географическом местоположении(прим. переводчика — если гео включено на самом телефоне). Если вы загрузите дополнительные фотографии, сделанные с помощью цифровой зеркальной фотокамеры, которая не геотегирует изображения автоматически, движок все равно сможет сделать обоснованное предположение о местоположении на основе контекста.

Большая часть этой информации доступна для поиска в учетной записи Google Фото, и Mаsаs нашел способ использовать атаку по сторонним каналам для ее использования. «После некоторых проб и ошибок я обнаружил, что конечная точка(endpoint) поиска в Google Фото уязвима для атаки, — пишет он. «Я использовал тег HTML-ссылки для создания нескольких перекрестных запросов к конечной точке поиска в Google Фото. Используя JavaScript, я измерил количество времени, необходимое для запуска события onload».

Оттуда он смог определить, сколько времени понадобилось сервису для выполнения поискового запроса, который выдавал нулевой результат. Когда он выполнял поиск, который занимал любое количество времени по сравнению с исходным уровнем, он знал, что Google Фото возвращает какой-то результат. Имея определенный уровень доступа, любой человек может выполнять поиск в вашем аккаунте Google Фото и использовать тайминг, чтобы узнать, какие запросы возвращают результат.

Запрос названий стран или городов может сказать злоумышленнику, что вы были, например, в Испании или Нью-Йорке. Включение даты или диапазона дат в поиск устанавливает когда, а добавление имен может показать, с кем вы были. Маsаs сказал, что для того, чтобы хакер приобрел такой уровень доступа, ему нужно было бы заставить пользователя открыть вредоносный веб-сайт или перейти на страницу с вредоносным JavaScript в веб-объявлении при входе в Google Фото. Скорее всего, хакеры будут использовать фишинговую схему для приманки пользователя.

Теперь об Android:

В пресс-релизе Positive Technologies говорится, что обнаруженная уязвимость(CVE-2019-5765) затрагивает Android 4.4 и более поздние версии, и виноват в этом WebView. На своем сайте для разработчиков Google объясняет, что «WebView полезен, когда вам требуется усиленный контроль над пользовательским интерфейсом и расширенными параметрами конфигурации, которые позволят вам встраивать веб-страницы в специально разработанную среду для вашего приложения».

Так как WebView является частью механизма Chromium, Positive Technologies заявила, что любой браузер на основе Chromium уязвим. Google Chrome более популярен, но также под угрозой браузер Samsung, и браузер Яндекса, и остальные браузеры, в основе которых Chromium(т.е., почти все кроме FF?).

Ли-Энн Галлоуэй из Positive Technologies рассказала о работе атаки: «Наиболее очевидный сценарий атаки включает малоизвестные сторонние приложения. После обновления, содержащего вредоносную полезную нагрузку, такие приложения могут считывать информацию из WebView». Она сказала, что злоумышленники получат доступ к истории браузера пользователей, токенам аутентификации, заголовкам и многому другому.

Но есть и хорошие новости — уязвимости уже пофикшены:
Уязвимость в Google Фото уже исправлена. Простое обновление браузера Chrome должно устранить любую угрозу, связанную с проблемой WebView, для пользователей Android 7.0 или более поздней версии, поскольку ошибка была исправлена ​​в Chrome 72(выпущенном в январе). Пользователи более ранних версий Android должны будут обновить WebView через Google Play.
Support the author
Share post

Similar posts

Comments 5

    –1
    Закроют ли теперь гугл фото вслед за g+?
      +2
      Нет, Photos — офигительная всем нужная штука. Похожих нет. А соцсетей лучше G+ дофига.
        0
        Вопрос в том, какая есть удобная альтернатива для просмотра фото (фотогалерея, не редактор), потому как Гугл.Фото без авторизации не работает ещё со времён Nexus 5.
      –1
      Так сервисы гугла и служат для кражи данных о пользователях, в чем новость то?
        0
        В том, что в очередной раз могли пролюбить всё, уворованное что нажито непосильным трудом. Три магнитофона, три кинокамеры заграничных, три портсигара отечественных…. Куртка замшевая…. Три.

      Only users with full accounts can post comments. Log in, please.