Vulnerabilidade no Google Fotos permite que hackers rastreiem o histórico de localização

Vulnerabilidade no Google Fotos

Existe uma vulnerabilidade com a vers√£o web do Google photos, que sites mal-intencionados extraem as informa√ß√Ķes de metadados das fotos.

As fotos do Google marcar√£o suas fotos automaticamente com base nas informa√ß√Ķes de metadados, como coordenadas geogr√°ficas, data etc.

Os metadados Foto permitem que as informa√ß√Ķes sejam transportadas junto com o arquivo de imagem que pode ser lido por software, hardware e usu√°rios finais.

Ron Masas, pesquisador de seguran√ßa da Imperva, descobriu um ataque no canal lateral do navegador. Os pesquisadores usaram uma tag de link HTML para criar v√°rias solicita√ß√Ķes de origem cruzada para a pesquisa do Google Fotos usando javascript para medir o tempo que levou para o evento onload disparar.

Ao calcular o tempo da linha de base com base no evento acionador, os pesquisadores usaram a consulta de pesquisa ‚Äúfotos minhas da Isl√Ęndia‚ÄĚ e compararam o resultado √† linha de base.

Se a consulta demorar muito mais que o tempo da linha de base, ser√° assumido que a consulta retornou resultados correspondentes √†s fotos na Isl√Ęndia.

Como o ataque funciona

Para que o ataque funcione, primeiro, o invasor precisa induzir o usuário a abrir o site mal-intencionado no momento em que o usuário efetuou login no Google Fotos. Imperva publicou uma demonstração em vídeo explicando o ataque.

Depois que o site malicioso √© aberto no navegador, ele silenciosamente gera solicita√ß√Ķes para o terminal de pesquisa do Google Fotos e extrai respostas para qualquer consulta que o invasor desejar.

Esse processo pode ser incremental, pois o invasor pode acompanhar o que já foi solicitado e continuar a partir daí na próxima vez que você visitar um de seus sites maliciosos, lê o relatório Imperva.

A vulnerabilidade foi relatada ao Google pelo Imperva e a vulnerabilidade foi corrigida agora.

Voc√™ pode nos seguir no Linkedin, Twitter, Facebook para atualiza√ß√Ķes di√°rias de seguran√ßa cibern√©tica, voc√™ tamb√©m pode fazer os melhores cursos de seguran√ßa cibern√©tica on-line para manter sua atualiza√ß√£o autom√°tica.

Leitura relacionada

Cuidado !! Hackers que exploram a vulnerabilidade do WinRAR para invadir Windows Computador enquanto o usu√°rio extrai o conte√ļdo

Grupo de hackers do APT explorando o sistema operacional Windows usando a nova vulnerabilidade de dia zero