Новая уязвимость. Ошибка в Google Фото позволяла рассекретить данные пользователей

Исправленный уже недостаток является еще одним примером атак по побочным каналам на основе браузера, пишет Engadget. 

Рон Мазес из охранной компании Imperva объясняет в своем блоге, что Google Photos была уязвима к атакам по времени, которые могли использовать данные изображения для того, чтобы определить приблизительное время посещение определенного места или страны. 

Приложение получает геолокационные данные о месте создания снимка, так благодаря работе технологии распознавания лиц еще и узнает, кто именно запечатлен на конкретной фотографии. Если речь идет о фотографиях ребенка, Google Фото может отслеживать изменения в его внешности.

Однако, чтобы эта атака работала, пользователь должен был открыть вредоносный веб-сайт при входе в Google Фото, а хакеру пришлось бы приложить определенные усилия для атаки, так что это никогда не было массовой проблемой. Тем не менее, по его словам, любой, "кто понимает, как использовать cross-origin запросы и JavaScript, сможет получить данные".

Однако, как отмечает Мазес, недавно обнаруживший аналогичную уязвимость в Facebook Messenger, атаки на побочные каналы в браузере по-прежнему регулярно игнорируются.

"Хотя крупные игроки, такие как Google и Facebook, понимают это, большая часть индустрии до сих пор не знает", - сказал он.