De um modo geral, os serviços do Google são bastante seguros. Hoje, no entanto, uma vulnerabilidade do Google Fotos foi revelada sobre o histórico de localização potencialmente exposto antes de ser corrigido.
A empresa de segurança Imperva revelou hoje uma vulnerabilidade de segurança do Google Fotos que poderia ter deixado o histórico de localização dos usuários disponível para os invasores.
Na época em que a falha foi publicada, o Google já havia corrigido o problema.
O ataque em si era baseado em navegador, exigindo que os usuários fossem levados a visitar um site malicioso enquanto também estavam conectados ao Fotos na web.
Devido ao esforço necessário do atacante, essa falha provavelmente nunca foi usada em larga escala.
Ainda assim, ficamos felizes em ver que o Google corrigiu as coisas. Afinal, essa vulnerabilidade de segurança pode revelar o histórico de localização de um usuário. Como Imperva explica:
Na minha prova de conceito, usei a tag de link HTML para criar várias solicitações de origem cruzada para o ponto de extremidade de pesquisa do Google Fotos.
Usando JavaScript, medi a quantidade de tempo que levou para disparar evento onload.
Usei essas informações para calcular o tempo de linha de base – nesse caso, cronometrar uma consulta de pesquisa que sei que retornará zero resultados.
Em seguida, cronometrei a seguinte consulta “fotos minhas da Islândia” e comparei o resultado com a linha de base.
Se o tempo de pesquisa demorasse mais do que a linha de base, eu poderia assumir que a consulta retornou resultados e inferir que o usuário atual visitou a Islândia … adicionando uma data à consulta de pesquisa, eu poderia verificar se a foto foi tirada em um intervalo de tempo específico.
Ao repetir esse processo com diferentes intervalos de tempo, eu poderia rapidamente aproximar o horário da visita a um local ou país específico.
Via 9to5google
Siga o Dica App do Dia nas redes sociais – os links estão abaixo – e também no agregador de notícias Flipboard.
