Zdjęcia Google na Androida, aby uzyskać więcej nowych funkcji: zapowiedziane
Zdjęcia Google to zdecydowanie jedno z najpopularniejszych rozwiązań do przechowywania danych w chmurze, które jest zintegrowane również z innymi produktami i usługami Google. Jednak ma również dość uproszczoną warstwę ochrony mediów, które użytkownicy przechowują i udostępniają, odkrył badacz. Jedyną rzeczą stojącą między publicznym ujawnieniem prywatnie udostępnianych zdjęć i filmów jest zaciemniony link internetowy. Właścicielom mediów, którzy chcą je udostępnić konkretnej osobie, oferujemy link, którym można się podzielić. Zasadniczo to Zdjęcia Google tworzą łącze. Jednak zamiast oferować lub zezwalać na ograniczony dostęp tylko do autoryzowanych kont, każdy, kto ma dostęp do łącza internetowego, może łatwo uzyskać dostęp i przeglądać zawartość.
Użytkowników Google Photo należy ostrzec przed dość dziwną luką, która zasadniczo zwiększa ekspozycję ich prywatnych treści, w tym zdjęć i użytkowników przechowywanych na platformie. Prywatne linki utworzone w celu udostępnienia multimediów mogą być łatwo używane przez każdego do przeglądania tych samych. Innymi słowy, prywatnie udostępnione linki stały się publicznie dostępne. Nie trzeba dodawać, że jest to dość poważne przeoczenie i absurdalne, jak Google może na to pozwolić.
W jaki sposób multimedia udostępnione prywatnie w Zdjęciach Google stają się publicznie dostępne?
Badacz Robert Wiblin ponad o godz 80 000 godzin Niedawno odkryto lukę w zabezpieczeniach, która zasadniczo ujawniła prywatne treści przechowywane w Zdjęciach Google i udostępniła je publicznie. Kilkakrotnie próbował i udało mu się odtworzyć ten scenariusz, a za każdym razem prywatnie udostępnione linki są publicznie dostępne z dowolnego konta Google. Zaskakujące jest, że osoby, które chciały przeglądać zawartość, w tym zdjęcia i filmy, nie muszą być logowane na konto Google. Zasadniczo każdy, kto ma dostęp do udostępnionego łącza do multimediów Google Photos, działającego Internetu i przeglądarki internetowej, może po prostu przeglądać zawartość bez ograniczeń. Nie potrzebowaliby specjalnych uprawnień, aby uzyskać dostęp do mediów, ani nawet konta Google, aby to zrobić. Wystarczy mieć dostęp do łącza internetowego.
Google polega na maskowaniu jako jedynej ochronie przed nieautoryzowanym dostępem do udostępnionych mediów w Zdjęciach Google?
Oczywiste jest, że Google nie wdraża wielu zabezpieczeń i cyfrowych przejść, aby uniemożliwić nieupoważnionym osobom uzyskanie dostępu do udostępnionych obrazów i zdjęć w Zdjęciach Google. Gigant wyszukiwania polega wyłącznie na zaciemnianiu odsyłacza internetowego do udostępnianych treści jako jedynej ochrony między treścią a autoryzowanym lub nieautoryzowanym dostępem.
W obronie Google hakerzy lub osoby mające złośliwe zamiary praktycznie nie mogą odgadnąć linku internetowego, który zapewnia dostęp do udostępnionych zdjęć i filmów. Jednak w przyszłości niewielka wada może pozwolić hakerom na zrobienie tego przez inżynierię wsteczną algorytmu generującego adres URL. Krótko mówiąc, ataki siłowe, które wykorzystują potężny sprzęt komputerowy do odgadnięcia adresu URL, mogą nigdy nie być w stanie zapewnić dostępu do udostępnionych multimediów w Zdjęciach Google.
Jednak uzyskanie dostępu do prawidłowego i kompletnego łącza internetowego jest śmiesznie proste dzięki innym powszechnie stosowanym technikom. Firmy zewnętrzne, które nie powinny widzieć treści, mogą łatwo zabezpieczyć adres URL zapewniający im dostęp do Zdjęć Google. Niektóre z najczęstszych metod przywłaszczania sobie adresu URL obejmują monitorowanie sieci, przypadkowe udostępnianie lub niezaszyfrowaną wiadomość e-mail. Co więcej, hakerzy mogą wdrożyć socjotechnikę, aby skłonić ludzi do nieumyślnego lub przypadkowego udostępnienia linków. Uzyskanie dostępu do adresu URL jest zasadniczo jedynym wymaganym krokiem. Każdy, kto ma dostęp do łącza, może po prostu umieścić łącze w dowolnej przeglądarce internetowej i przeglądać udostępnione multimedia. Jeszcze bardziej niepokojące jest to, że nieupoważnione osoby mogą uzyskać dostęp do treści, nawet jeśli nie są zalogowane na konto Google.
Google otwarcie nie stwierdza takiej słabej ochrony w Zdjęciach Google, ale oferuje przełącznik zabezpieczeń
Robert Wiblin podkreśla, że Zdjęcia Google nie ujawniają tego faktu klientowi. Jeszcze bardziej niepokojące jest to, że nie ma ostatecznego sposobu ustalenia lub potwierdzenia statystyk mediów. Innymi słowy, nie ma odpowiednich informacji, których klienci Google mogą szukać, aby określić, jak często i przez kogo były oglądane udostępnione zdjęcia.
Google słynie z prostoty i łatwości obsługi. Opracowywane przez nią produkty są zwykle pozbawione skomplikowanej strony ustawień. Użytkownicy mogą szybko nawigować, a nawet wyszukiwać określone ustawienie. Najczęściej większość odpowiednich ustawień dla określonej akcji lub polecenia jest widoczna podczas ich wykonywania. Nie dotyczy to jednak Zdjęć Google, a zwłaszcza udostępniania multimediów.
PDA - udziały w Zdjęciach Google są domyślnie publiczne (bez możliwości ograniczenia) https://t.co/Toc01tUNw7
- Sergey Vershinin (@svershin) 16 lipca 2019 r
Zdjęcia Google nie oferują jasnych i bezpośrednich informacji o tym, jak można wyłączyć udostępnianie multimediów, aby inne osoby nie miały już do nich dostępu. Użytkownicy usługi muszą uzyskać dostęp do menu udostępniania i najechać kursorem na określony udostępniony album. Menu, które się pojawi, oferuje opcję usunięcia albumu. Jest jednak inny sposób ograniczenia nieautoryzowanego dostępu do udostępnionych multimediów w Zdjęciach Google. Zamiast usuwać cały album, użytkownicy mogą wyszukać opcję zatrzymania udostępniania łącza w opcjach albumu.
Ta niedawno odkryta i nadal użyteczna metoda uzyskiwania dostępu do treści bez wyraźnej zgody jest dość poważna. Interfejs Zdjęć Google jest dość podobny do Dysku Google. Co więcej, do niedawna te dwie rzeczy były ze sobą nierozerwalnie związane. To sprawia, że kilku użytkowników zakłada, że Zdjęcia mają takie same uprawnienia i ograniczenia jak Dysk. Jednak tak nie jest. Ponadto niedawne oddzielenie jeszcze bardziej skomplikowało sprawę.
Co ciekawe, dostosowanie sposobu udostępniania w Zdjęciach Google do tego na Dysku Google może nie być trudne. Dysk Google traktuje udostępnienia prywatne w podobny sposób do „prywatnych” filmów w YouTube. Dostęp do takich filmów mają tylko upoważnieni widzowie. Wydaje się jednak, że Zdjęcia Google traktują te multimedia jako filmy „niepubliczne” w YouTube. Jeśli ktoś ma link do filmu, może łatwo obejrzeć to samo. Jeśli Zdjęcia zaczną dodawać reguły uwierzytelniania i ograniczeń w adresie URL lub na stronie docelowej, wówczas nośnik może zostać zabezpieczony przed nieautoryzowanym dostępem.
Tagi Zdjęcia Google
