الرئيسية / أخبار تقنية / إغلاق ثغرة أمنية في تطبيق جوجل فوتوز تتيح للمهاجمين تتبع الموقع باستخدام الصور

إغلاق ثغرة أمنية في تطبيق جوجل فوتوز تتيح للمهاجمين تتبع الموقع باستخدام الصور

مكنت الثغرة الأمنية المكتشفة في إصدار الويب من Google Photos مواقع الويب من معرفة سجل موقع المستخدم بناءً على الصور التي قاموا بتخزينها في الحساب.

أثر الخلل في نقطة نهاية بحث صور Google التي تتيح للمستخدمين العثور بسرعة على الصور استنادًا إلى البيانات الوصفية المجمعة مثل الموقع الجغرافي وتاريخ الإنشاء وهي خوارزمية ذكاء اصطناعية يمكنها التعرف على الكائنات ووجوه الأشخاص بعد تمييزها.

إلى حد بعيد تتمثل الميزة العليا لوظيفة البحث في الخدمة بأنه يمكنك استخدام استعلامات بشرية لاكتشاف الصور ذات الصلة باسم أو مكان أو تاريخ أو أشياء أو مجموعة منها.

اكتشف رون ماساس الباحث الأمني ​​في Imperva أن هجوم التوقيت المستند إلى المستعرض والذي يستفيد من الطريقة التي تعمل بها عادة السياسة الأصلية (SOP) في المتصفحات يمكن أن يساعد المهاجم في تحديد موقع المستخدم أو سجل السفر.

SOP هي آلية أمان تطبيق الويب التي تمنع التفاعل بين الموارد المحملة من أصول مختلفة وفي التكوين النموذجي يُسمح بالكتابة عبر الأصل ولكن القراءة غير مسموح بها.

استخدم الباحث Ron Masas علامة ارتباط HTML لإنشاء طلبات متعددة الأصل لنقطة نهاية بحث صور Google و Javascript لقياس مقدار الوقت الذي استغرقه الحدث لبدء التحميل ثم كان قادرًا على حساب وقت الأساس أو توقيت استعلام البحث الذي سيعود إلى نتائج صفرية.

بعد ذلك قام الباحث بتحديد توقيت الاستعلام التالي “صور لي من أيسلندا” وقارن النتيجة مع خط الأساس ووجد أنه إذا استغرق وقت البحث وقتًا أطول من خط الأساس فيمكنه أن يفترض أن الاستعلام يعرض النتائج ويعود بالتالي إلى أن المستخدم الحالي زار أيسلندا

ومن خلال إضافة تاريخ لاستعلام البحث يمكن لـ Masas التحقق مما إذا كانت الصورة قد التقطت في نطاق زمني محدد ومن خلال تكرار هذه العملية بنطاقات زمنية مختلفة يمكنه تقريب وقت الزيارة إلى مكان أو بلد معين بسرعة.

ولكي ينجح الهجوم يجب إغراء الضحايا لتحميل موقع ويب ضار أثناء تسجيل الدخول إلى صور Google وهذه ليست عقبة بالنظر إلى عدد الأشخاص الذين يستخدمون Gmail وأن حساب Google يوقعك في جميع خدمات جوجل.

يقول ماساس: “بعد ذلك ستنشئ شفرة جافا سكريبت طلبات بصمت لنقطة نهاية بحث صور Google مستخرجة إجابات منطقية على أي استفسار يريده المهاجم” ولا يتعين على المهاجم استخراج جميع المعلومات مرة واحدة وأضاف الباحث أنه يمكنهم متابعة ما لديهم بالفعل والاستئناف من حيث توقفوا.

في مقطع فيديو يوضح هجوم إثبات المفهوم تُظهر Masas كيف يمكن لموقع ويب تابع لجهة خارجية قياس وقت البحث لاكتشاف البلدان التي التقط فيها المستخدم صورًا في:

عن فدوى

شاهد أيضاً

أبل تطلق تحديث iOS 12.3 لجميع المستخدمين

أطلقت الشركة العملاقة أبل تحديث جديد يحمل إصدار رقم iOS 12.3 ويتضمن التحديث العديد من الإضافات …

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *