Приложение Google Фото содержало критическую уязвимость, которая могла раскрыть идентифицирующие данные о жертве и ее близких.
Исправленный уже недостаток является еще одним примером атак по побочным каналам на основе браузера, пишет Engadget.
Рон Мазес из охранной компании Imperva объясняет в своем блоге, что Google Photos была уязвима к атакам по времени, которые могли использовать данные изображения для того, чтобы определить приблизительное время посещение определенного места или страны.
Приложение получает геолокационные данные о месте создания снимка, так благодаря работе технологии распознавания лиц еще и узнает, кто именно запечатлен на конкретной фотографии. Если речь идет о фотографиях ребенка, Google Фото может отслеживать изменения в его внешности.
Однако, чтобы эта атака работала, пользователь должен был открыть вредоносный веб-сайт при входе в Google Фото, а хакеру пришлось бы приложить определенные усилия для атаки, так что это никогда не было массовой проблемой. Тем не менее, по его словам, любой, "кто понимает, как использовать cross-origin запросы и JavaScript, сможет получить данные".
Однако, как отмечает Мазес, недавно обнаруживший аналогичную уязвимость в Facebook Messenger, атаки на побочные каналы в браузере по-прежнему регулярно игнорируются.
"Хотя крупные игроки, такие как Google и Facebook, понимают это, большая часть индустрии до сих пор не знает", - сказал он.