Bug do Google fotos permite acesso a localização de usuários


A empresa de segurança digital Imperva anunciou a descoberta de um bug do Google Fotos que permitia a invasores acessar o histórico de localização de usuários da ferramenta. O problema foi rapidamente corrigido pela Google e não deve mais apresentar riscos. No caso, isso refere-se a ataques de vazamento de canais laterais, que consiste em atrair usuários para um site malicioso e depois usar códigos de JavaScript para avaliar o tamanho e tempo de resposta do site visado. Os dados obtidos permitem, nesse contexto, que um hacker possa, a partir de tentativas de busca, analisar e inferir sobre locais visitados por uma pessoa bem como seu tempo de permanência nesses espaços.

Para observar isso, o analista da Imperva Ron Masas criou um JavaScript disfarçado para explorar a função de pesquisas do Google Fotos. Assim, a vítima seria direcionada para o site malicioso, por meio de um anúncio, por exemplo. Após acessá-lo, o JS usaria o navegador desse usuário para fazer pesquisas e outras solicitações.

Nesse sentido, o especialista usou o termo de pesquisa “minhas fotos da Islândia”, para descobrir se a suposta vítima havia visitado o país. Isso foi feito avaliando o tamanho da resposta e tempo com que o Google Fotos levou para retornar a essa busca, mesmo que imagem alguma tivesse sido exibida.

Assim, os dados obtidos permitiram que Masas pudesse, a partir de tentativas de busca, analisar e inferir sobre locais visitados. Ele ainda refinou sua pesquisa usando intervalos de datas, para descobrir o período de permanência nesses lugares.

Essas buscas poderiam se estender para outros temas, conforme a vontade do hacker.

Como é possível notar, esse tipo de invasão tomaria certo tempo e esforço para atingir seu objetivo. Isso provavelmente reduziu as chances de algo do tipo acontecer até aquele momento. Ademais, Masas alerta que “ataques de canal lateral baseados em navegador ainda são negligenciados”, por isso acrescentam risco para outros serviços de backup em nuvem de imagens, como Dropbox iCloud.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *