Мобильный Контент
iosAndroidWindows PhoneTizenBlackberry
— Приложения и игры Android, iPhone, iPad. Аналитика. Реклама.

Уязвимость в приложении «Google Фото»: персональные данные под угрозой

22 марта, 2019
Уязвимость в приложении «Google Фото»: персональные данные под угрозой Целых две уязвимости в экосистеме Android обнаружили исследователи, причем серьезные бреши были найдены в фирменных сервисах Google. Компания Imperva нашла способ выполнить атаку по побочному каналу на сервис Google Фото, что позволило получать данные о местоположении, времени и другую персональную информацию из аккаунта. Вторая уязвимость, о которой выяснила компания Positive Technologies, более опасная дыра в Android, которая также позволяет похищать личные данные. Ей был присвоен статус «серьезная» самим Google.

Сервисы и приложения интернет-гиганта очень популярны, поэтому подобные уязвимости потенциально касаются миллионов людей по всему миру. По состоянию на май 2017 года, у Google Фото было более 500 млн пользователей. Охват мобильной операционной системы Android еще больше - 2 млрд устройств. К счастью, уязвимость, о которой идет речь, найдена в Android 4.4 KitKat, а эта версия платформы установлена на сравнительно небольшое количество смартфонов и планшетов.

Google Фото: кто, где и когда

Уязвимость, найденная в сервисе, позволяет злоумышленникам получить доступ к массе персональных пользовательских данных, включая то, когда и где была сделана фотография, а также кто еще изображен на снимке.

Google Фото использует мета-данные из фотографии, а также различные функции на базе алгоритмов машинного обучения, таких как распознавание лиц, генерируя огромные объемы ценной информации, которая может оказаться в руках злоумышленников.

К примеру, сервис Google может распознать лицо вашего сын на фото и автоматически отметить его на всех снимках, где он сфотографирован. Распознавание окажется успешным, даже если прошло несколько лет и он уже вырос. Кроме того, даже если человек на фото улыбается, хмурится и даже не смотрит прямо в камеру - продвинутым алгоритмам распознавания не составить труда определить его.

Фотографии, которые вы снимаете смартфоном, как правило, содержат еще и точную информацию о месте съемки. Даже если геолокация отключена, или вы загрузили фотографии с фотоаппарата, в котором нет функции гео-тэгов, алгоритмы все равно смогут определить место съемки, ориентируясь по местности (ведь в Google Фото миллиарды снимков с координатами, снятыми в самых разных точках Земли, «движку» есть с чем сравнивать).

Вся эта информация доступна в аккаунте Google Фото, а эксперт Imperva нашел способ получить к ней доступ с помощью JavaScript и HTML тэга. Используя несложный скрипт, исследователь смог получить личные данные через запросы. К примеру, используя место, время и имена, можно получить из сервиса информацию о том, где, с кем и когда был тот или иной человек.

Впрочем, чтобы воспользоваться этой уязвимостью, придется сперва заманить пользователя на веб-сайт или посадочную страницу с вредоносным кодом на JavsScript. При этом пользователь должен быть залогинен в Google Фото. Скорее всего, хакеры воспользовались бы фишинговой схемой.

Чтобы избежать подобного неприятного развития ситуации, рекомендуем установить на телефон под Android проверенный антивирус. Какой именно? Из 250 протестированных оказались эффективны более 40% оказались бесполезными. Читай обзор, чтобы выбрать работающую защиту на смартфон.

Вина WebView

Positive Technologies сообщает о найденной уязвимости (CVE-2019-5765), которая касается пользователей телефонов на базе Android 4.4 KitKat и выше. «Виновником» стал компонент WebView. Он является базовым элементом для Andriod Instant App, которые позволяют запустить какую-нибудь одну функцию приложения на телефоне, не загружая полностью приложение.

Поскольку WebView является частью движка Chromium, то уязвимость есть в любом браузере на его базе. Наиболее популярен Google Chrome, однако «дыра» в безопасности есть и в Samsung Internet, а также Яндекс.Бразуере.

Наиболее вероятный сценарий атаки включает использование сторонних приложений. После установки обновления с вредоносным кодом, таких приложения могут считывать информацию из WebView, т.е. злоумышленники могут получить доступ к истории браузера, токенам авторизации, заголовкам и так далее.

Баг-фикс

Уязвимость сервиса Google Фото уже исправлена, а простое обновление браузера Chrome защитит от посягательств на персональные данные пользователей Android 7.0 и выше. Пользователи, чьи телефоны работают на более ранних версиях Android, должны обновить WebView через Google Play.

.

Постоянный адрес публикации: http://www.procontent.ru/news/31465.html



Издатель: Procontent.ru , источник: Venture Beat  
RSS-подписка на новости рубрики

Главные новости:

Movavi Clips — мощный и удобный видеоредактор для Android и iOS Movavi Clips — мощный и удобный видеоредактор для Android и iOS
Обзор iOS 13: переходим на темную сторону Обзор iOS 13: переходим на темную сторону
GRIS: обзор действительно роскошной и незабываемой игры на iPhone GRIS: обзор действительно роскошной и незабываемой игры на iPhone
Обзор Android 10: новые жесты, ночной режим, «фокусы» и строгие разрешения для приложений Обзор Android 10: новые жесты, ночной режим, «фокусы» и строгие разрешения для приложений
Обзор бесплатной бегалки Alabama Bones: крошечный шедевр [Android и iPhone] Обзор бесплатной бегалки Alabama Bones: крошечный шедевр [Android и iPhone]
WhatsApp будет тщательнее обращаться с эротическими фото; критика мессенджера WhatsApp будет тщательнее обращаться с эротическими фото; критика мессенджера
Facebook Libra: все о криптовалюте для WhatsApp, Messenger, Facebook и Instagram Facebook Libra: все о криптовалюте для WhatsApp, Messenger, Facebook и Instagram
Обзор Warriors of Waterdeep: «мягкая» РПГ на телефон по классическим D&D правилам [Android и iOS] Обзор Warriors of Waterdeep: «мягкая» РПГ на телефон по классическим D&D правилам [Android и iOS]


+ Добавить обзор




Актуальные темы:

Movavi Clips — мощный и удобный видеоредактор для Android и iOS Movavi Clips — мощный и удобный видеоредактор для Android и iOS
Обзор iOS 13: переходим на темную сторону Обзор iOS 13: переходим на темную сторону
GRIS: обзор действительно роскошной и незабываемой игры на iPhone GRIS: обзор действительно роскошной и незабываемой игры на iPhone
Обзор Android 10: новые жесты, ночной режим, «фокусы» и строгие разрешения для приложений Обзор Android 10: новые жесты, ночной режим, «фокусы» и строгие разрешения для приложений
iOS 13: обзор новых функций безопасности и защиты личных данных iOS 13: обзор новых функций безопасности и защиты личных данных
«Дыра» в WhatsApp и Telegram позволила хакерам воровать фото, видео и документы «Дыра» в WhatsApp и Telegram позволила хакерам воровать фото, видео и документы
«Номы!» - обзор кавайной игры на телефон с безжалостным F2P [Android и iPhone] «Номы!» - обзор кавайной игры на телефон с безжалостным F2P [Android и iPhone]