Bug no Google Fotos permitia acesso a dados de localização de usuários

1 min de leitura
Imagem de: Bug no Google Fotos permitia acesso a dados de localização de usuários
Avatar do autor

A empresa de segurança digital Imperva anunciou a descoberta de um bug no Google Fotos que permitia que invasores acessassem o histórico de localização de usuários da ferramenta. O problema foi rapidamente corrigido pela Google e não deve mais apresentar riscos. O caso teve relação com ataques de vazamento de canais laterais, que consistem em atrair usuários para um site malicioso e depois usar códigos de JavaScript para avaliar o tamanho e tempo de resposta do site visitado.

Para comprovar isso, o analista da Imperva, Ron Masas, criou um JavaScript disfarçado para explorar a função de pesquisas do Google Fotos. Assim, a vítima seria direcionada para o site malicioso por meio de um anúncio, por exemplo. Após acessá-lo, o JS usaria o navegador do usuário para fazer pesquisas e outras solicitações.

O especialista usou “minhas fotos da Islândia” como termo de pesquisa, para descobrir se a suposta vítima havia visitado o país. Em seguida, avaliou o tamanho da resposta e o tempo que o Google Fotos levou para retornar a busca, mesmo que nenhuma imagem tivesse sido exibida. Assim, os dados obtidos permitiram que Masas pudesse analisar e inferir sobre locais visitados. Ele ainda refinou sua pesquisa usando intervalos de datas para descobrir o período de permanência nos locais. Essas buscas poderiam se estender para outros temas, conforme a vontade do hacker.

Como é possível notar, esse tipo de invasão tomaria certo tempo e esforço para atingir seu objetivo, o que provavelmente reduziu as chances de algo do tipo acontecer até aquele momento. Ademais, Masas alerta que “Ataques de canal lateral baseados em navegador ainda são negligenciados”, por isso acrescentam risco para outros serviços de backup de imagens em nuvem, como Dropbox e iCloud.

Comentários

Conteúdo disponível somente online
Bug no Google Fotos permitia acesso a dados de localização de usuários