Увлекшись поисками недостатков в программных продуктах конкурентов, Google, кажется, совершенно забыла об обеспечении безопасности своих собственных. Как выяснили исследователи компании Imperva, приложение «Google Фото» содержало критическую уязвимость, которая при должных навыках злоумышленника могла раскрыть идентифицирующие данные о жертве и ее близких, в том числе сведения о местах и времени пребывания, что, по логике, должно быть строжайше засекречено.
По словам Рона Масаса, исследователя Imperva, уязвимость, о которой идет речь, скрывалась в механизме обработки метаданных «Google Фото». Мало того, что приложение получает геолокационные данные о месте создания снимка, так благодаря работе технологии распознавания лиц еще и узнает, кто именно запечатлен на конкретной фотографии. Если речь идет о фотографиях ребенка, «Google Фото» может даже отслеживать изменения в его внешности, которые происходят с годами.
Взломать аккаунт Google
Большая часть всей информации, которую получает «Google Фото», привязывается к учетной записи пользователя, откуда их при должной сноровке можно запросто извлечь. После нескольких проб и ошибок, признается Масас, ему удалось найти оптимальный способ выемки данных обо всех путешествиях жертвы, ее перемещениях по городу, детях, их именах и внешности. По большому счету, признается исследователь, любой, кто понимает, как использовать cross-origin запросы и JavaScript, сможет проделать то же самое.
На момент выхода публикации уязвимость в «Google Фото» была исправлена. В соответствии с принятым в среде исследователей в области кибербезопасности правилом, любой, кто обнаружил уязвимость в программном продукте, должен сообщить о ней автору и не предавать полученную информацию огласке в течение 90 дней. Предполагается, что этого времени должно с лихвой хватить на устранение даже самой опасной бреши.
Подпишись на наш канал в Яндекс.Дзен, чтобы не пропустить все самое интересное.
