Мобильный Контент
iosAndroidWindows PhoneTizenBlackberry
— Приложения и игры Android, iPhone, iPad. Аналитика. Реклама.

Уязвимость в приложении «Google Фото»: персональные данные под угрозой

22 марта, 2019
Уязвимость в приложении «Google Фото»: персональные данные под угрозой Целых две уязвимости в экосистеме Android обнаружили исследователи, причем серьезные бреши были найдены в фирменных сервисах Google. Компания Imperva нашла способ выполнить атаку по побочному каналу на сервис Google Фото, что позволило получать данные о местоположении, времени и другую персональную информацию из аккаунта. Вторая уязвимость, о которой выяснила компания Positive Technologies, более опасная дыра в Android, которая также позволяет похищать личные данные. Ей был присвоен статус «серьезная» самим Google.

Сервисы и приложения интернет-гиганта очень популярны, поэтому подобные уязвимости потенциально касаются миллионов людей по всему миру. По состоянию на май 2017 года, у Google Фото было более 500 млн пользователей. Охват мобильной операционной системы Android еще больше - 2 млрд устройств. К счастью, уязвимость, о которой идет речь, найдена в Android 4.4 KitKat, а эта версия платформы установлена на сравнительно небольшое количество смартфонов и планшетов.

Google Фото: кто, где и когда

Уязвимость, найденная в сервисе, позволяет злоумышленникам получить доступ к массе персональных пользовательских данных, включая то, когда и где была сделана фотография, а также кто еще изображен на снимке.

Google Фото использует мета-данные из фотографии, а также различные функции на базе алгоритмов машинного обучения, таких как распознавание лиц, генерируя огромные объемы ценной информации, которая может оказаться в руках злоумышленников.

К примеру, сервис Google может распознать лицо вашего сын на фото и автоматически отметить его на всех снимках, где он сфотографирован. Распознавание окажется успешным, даже если прошло несколько лет и он уже вырос. Кроме того, даже если человек на фото улыбается, хмурится и даже не смотрит прямо в камеру - продвинутым алгоритмам распознавания не составить труда определить его.

Фотографии, которые вы снимаете смартфоном, как правило, содержат еще и точную информацию о месте съемки. Даже если геолокация отключена, или вы загрузили фотографии с фотоаппарата, в котором нет функции гео-тэгов, алгоритмы все равно смогут определить место съемки, ориентируясь по местности (ведь в Google Фото миллиарды снимков с координатами, снятыми в самых разных точках Земли, «движку» есть с чем сравнивать).

Вся эта информация доступна в аккаунте Google Фото, а эксперт Imperva нашел способ получить к ней доступ с помощью JavaScript и HTML тэга. Используя несложный скрипт, исследователь смог получить личные данные через запросы. К примеру, используя место, время и имена, можно получить из сервиса информацию о том, где, с кем и когда был тот или иной человек.

Впрочем, чтобы воспользоваться этой уязвимостью, придется сперва заманить пользователя на веб-сайт или посадочную страницу с вредоносным кодом на JavsScript. При этом пользователь должен быть залогинен в Google Фото. Скорее всего, хакеры воспользовались бы фишинговой схемой.

Чтобы избежать подобного неприятного развития ситуации, рекомендуем установить на телефон под Android проверенный антивирус. Какой именно? Из 250 протестированных оказались эффективны более 40% оказались бесполезными. Читай обзор, чтобы выбрать работающую защиту на смартфон.

Вина WebView

Positive Technologies сообщает о найденной уязвимости (CVE-2019-5765), которая касается пользователей телефонов на базе Android 4.4 KitKat и выше. «Виновником» стал компонент WebView. Он является базовым элементом для Andriod Instant App, которые позволяют запустить какую-нибудь одну функцию приложения на телефоне, не загружая полностью приложение.

Поскольку WebView является частью движка Chromium, то уязвимость есть в любом браузере на его базе. Наиболее популярен Google Chrome, однако «дыра» в безопасности есть и в Samsung Internet, а также Яндекс.Бразуере.

Наиболее вероятный сценарий атаки включает использование сторонних приложений. После установки обновления с вредоносным кодом, таких приложения могут считывать информацию из WebView, т.е. злоумышленники могут получить доступ к истории браузера, токенам авторизации, заголовкам и так далее.

Баг-фикс

Уязвимость сервиса Google Фото уже исправлена, а простое обновление браузера Chrome защитит от посягательств на персональные данные пользователей Android 7.0 и выше. Пользователи, чьи телефоны работают на более ранних версиях Android, должны обновить WebView через Google Play.

.

Постоянный адрес публикации: http://www.procontent.ru/news/31465.html



Издатель: Procontent.ru , источник: Venture Beat  
RSS-подписка на новости рубрики

Главные новости:

WhatsApp никогда не будет защищенным: критика от создателя Telegram WhatsApp никогда не будет защищенным: критика от создателя Telegram
Обзор Android Q Beta 1: что нового Обзор Android Q Beta 1: что нового
Dragalia Lost: обзор качественной и почти бесплатной РПГ на телефоны [Android и iOS] Dragalia Lost: обзор качественной и почти бесплатной РПГ на телефоны [Android и iOS]
Rangers of Oblivion: обзор ММОРПГ на Андроид в стиле Monster Hunter Rangers of Oblivion: обзор ММОРПГ на Андроид в стиле Monster Hunter
Обзор iSkySoft Data Recovery: восстанавливаем удаленные файлы с компьютера, флэшки, SD-карты Обзор iSkySoft Data Recovery: восстанавливаем удаленные файлы с компьютера, флэшки, SD-карты
Обзор лучших игр про космос на Андроид 2019 Игры про космос на Андроид: обзор лучших на 2019 год
ММОРПГ на Андроид: обзор лучших игр за 2017 год (топ-15) ММОРПГ на Андроид: обзор лучших игр на 2019 год (топ-40)
Tropico на iPad: обзор легендарной стратегии на сенсорных экранах [iOS] Tropico на iPad: обзор легендарной стратегии на сенсорных экранах [iOS]