Google Foto: risolta la vulnerabilità che mostrava la cronologia delle posizioni degli utenti

Google Foto: risolta la vulnerabilità che mostrava la cronologia delle posizioni degli utenti

La società Imperva nei giorni scorsi ha rivelato una vulnerabilità nella sicurezza di Google Foto: la cronologia delle posizioni degli utenti era potenzialmente esposta. Google aveva comunque già risolto il bug poco prima che la società lo segnalasse.

di pubblicata il , alle 08:21 nel canale Web
AndroidGoogle
 

In generale, che sia per lavoro e per altre faccende personali, utilizziamo molto spesso servizi di Google che riteniamo sicuri e affidabili, in primis quando utilizziamo il nostro smartphone, soprattutto Android. Non sempre però questi servizi sono immacolati e può capitare che ci siano delle vulnerabilità che possano compromettere dati personali in favore di qualche mal intenzionato che sfrutta questi bug per "rubarli".

In questi giorni, una società di sicurezza di nome Imperva, ha rilevato un problema all'interno della sicurezza di Google Foto che potenzialmente avrebbe potuto lasciare, ad hacker o chiunque di abbastanza esperto in materia, la cronologia dei posti nei quali l'utente ha scattato fotografie oppure ha registrato dei video che erano stati importati all'interno dell'applicazione di Google.


L'attacco per rubare questi dati si sarebbe potuto svolgere su browser, portando "forzatamente" degli utenti a visitare un sito web malevolo e allo stesso tempo di accedere al servizio Google Foto sul Web, catturando le informazioni delle foto, compresa la posizione dello scatto.

Come spiega Imperva: "Per dimostrare il bug, ho utilizzato il tag link HTML per creare più richieste di origine incrociata all'endpoint di ricerca di Google Foto. Usando JavaScript, ho quindi misurato la quantità di tempo necessario per l'evento onload da attivare. Ho usato queste informazioni per calcolare il tempo di base - in questo caso, cronometrare una query di ricerca che so restituirà zero risultati. Successivamente, ho programmato la seguente domanda "foto di me dall'Islanda" e ho confrontato il risultato con la baseline. Se il tempo di ricerca avrebbe richiesto più tempo rispetto alla previsione, posso supporre che la query abbia restituito risultati positivi e quindi dedurre che l'utente corrente abbia visitato l'Islanda ... aggiungendo una data alla query di ricerca, posso controllare se la foto è stata scattata in un intervallo di tempo specifico. Ripetendo questo processo con intervalli di tempo diversi, ho potuto approssimare rapidamente il tempo della visita in un luogo o paese specifico."

Tuttavia, vista la complessità dell'attacco, il difetto probabilmente non è mai stato sfruttato su larga scala. Google ha tempestivamente aggiustato le cose, anticipando anche la segnalazione di Imperva e rilasciando un aggiornamento dell'applicazione con la correzione del problema.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
+Benito+22 Marzo 2019, 09:05 #1
avesse, non avrebbe
emiliano8422 Marzo 2019, 09:47 #2
che bravi

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^