Уязвимость в «Google Фото» позволяла рассекретить данные пользователей

Увлекшись поисками недостатков в программных продуктах конкурентов, Google, кажется, совершенно забыла об обеспечении безопасности своих собственных. Как выяснили исследователи компании Imperva, приложение «Google Фото» содержало критическую уязвимость, которая при должных навыках злоумышленника могла раскрыть идентифицирующие данные о жертве и ее близких, в том числе сведения о местах и времени пребывания, что, по логике, должно быть строжайше засекречено.

По словам Рона Масаса, исследователя Imperva, уязвимость, о которой идет речь, скрывалась в механизме обработки метаданных «Google Фото». Мало того, что приложение получает геолокационные данные о месте создания снимка, так благодаря работе технологии распознавания лиц еще и узнает, кто именно запечатлен на конкретной фотографии. Если речь идет о фотографиях ребенка, «Google Фото» может даже отслеживать изменения в его внешности, которые происходят с годами.

Взломать аккаунт Google

Большая часть всей информации, которую получает «Google Фото», привязывается к учетной записи пользователя, откуда их при должной сноровке можно запросто извлечь. После нескольких проб и ошибок, признается Масас, ему удалось найти оптимальный способ выемки данных обо всех путешествиях жертвы, ее перемещениях по городу, детях, их именах и внешности. По большому счету, признается исследователь, любой, кто понимает, как использовать cross-origin запросы и JavaScript, сможет проделать то же самое.

На момент выхода публикации уязвимость в «Google Фото» была исправлена. В соответствии с принятым в среде исследователей в области кибербезопасности правилом, любой, кто обнаружил уязвимость в программном продукте, должен сообщить о ней автору и не предавать полученную информацию огласке в течение 90 дней. Предполагается, что этого времени должно с лихвой хватить на устранение даже самой опасной бреши.

Подпишись на наш канал в Яндекс.Дзен, чтобы не пропустить все самое интересное.

Теги
Лонгриды для вас
Google выпустила обновление Google Authenticator впервые за три года

Google, что бы там ни говорили пользователи Android, очень ответственно относится к обновлениям. Поэтому редкий сервис компании обходится без апдейтов на протяжении хотя бы одного месяца. Штатные службы операционной системы и вовсе могут получить несколько патчей даже за одну неделю. Однако есть у Google и такие сервисы, которые она может не обновлять годами, исправно делая вид, что в её ассортименте нет ничего подобного, а потом, когда все уже успели их похоронить, взять и выпустить масштабное обновление. Сможете угадать, о каком сервисе идёт речь? Конечно, о Google Authenticator.

Читать далее
Баг Android 10 заставляет смартфоны зависать без причины

Сколько себя помню, Android никогда не был особенно проблемной платформой. Да, раньше, когда флагманские смартфоны имели по 1-2 ГБ оперативной памяти, а их аппаратную основу составляли процессоры, которые сегодня не ставят даже в умные розетки, Android не отличался высоким уровнем быстродействия. Но такого, чтобы страдать от обилия серьёзных багов, мешающих работе, на моей памяти не было даже в порядке исключения. Тем не менее, Android 10 оказалась одной из самых проблемных версий ОС, в чём уже убедилась Xiaomi, а теперь предстоит и всем остальным.

Читать далее
Почему приложения для Android выгружаются и не присылают уведомления

Android, кто бы что ни говорил, - операционка очень продуманная и функциональная. Даже если Google периодически подворовывает у iOS те или иные нововведения, это совсем не значит, что у неё нет своих уникальных наработок. На самом деле их довольно много, просто большая часть механизмов, которые обеспечивают комфортную и стабильную работу смартфонов, делают это в пассивном режиме. Ведь лучший механизм - тот, которого не видно. Правда, иногда производителям начинает казаться, что они умнее Google. Тогда они начинают делать лучше и, к сожалению, всё ломают.

Читать далее

Новый комментарий