安全公司详细介绍了暴露用户数据的Android和Google Photos漏洞
研究人员最近发现了谷歌产品中两个不相关的漏洞。Imperva找到了一种方法来对Google Photos进行旁道攻击,让不良演员收集关键位置,时间和识别个人帐户信息。另一个由Positive Technologies发现,是一个更危险的Android漏洞。它还公开了用户数据,谷歌将其严重程度评为“高”。
由于Google的产品非常受欢迎,因此这些漏洞可能会影响数亿用户。截至2017年5月,谷歌照片拥有超过5亿用户。同时,Android拥有超过20亿台设备,但受影响的数量可能较小,因为Android 4.4 KitKat中引入了相关的安全漏洞。
Google照片中的人,地点和时间
网络版Google照片中发现的漏洞可能会随着时间的推移暴露用户的位置,以及拍摄照片时的身份。Imperva的Ron Masas 写了一篇博文,详细介绍了这个问题以及他是如何找到这个问题的。
Google相册使用图片中的元数据以及Google支持的机器学习(如面部识别)来生成宝藏信息。例如,它可以识别你儿子在照片中的脸部,并在他出现的每张图像中自动标记他,即使他长大并且多年来一直在变化 - 无论他是微笑,皱眉还是不直接面对镜头。您使用手机拍摄的照片会标有精确的地理位置信息。如果您上传使用未自动对图像进行地理标记的DSLR拍摄的其他照片,则引擎仍然可以根据上下文对位置进行有根据的猜测。
大部分信息都可以在Google相册帐户中进行用户搜索,Masas找到了一种使用旁道攻击来利用它的方法。“经过一些反复试验,我发现谷歌照片搜索终端很容易受到基于浏览器的定时攻击,”他写道。“我使用HTML链接标记为Google照片搜索端点创建多个跨源请求。然后使用JavaScript,我测量了onload事件触发所需的时间。“
从那里,他能够确定服务执行返回零结果的搜索查询所花费的时间。当他在基线上进行了花费任何时间的搜索时,他知道谷歌照片正在返回某种结果。通过一定程度的访问权限,不良演员可以在您的Google相册帐户中进行搜索,并使用时间来了解哪些字词会返回结果。
例如,查询国家或城市的名称可以告诉攻击者你在西班牙或纽约市。在搜索中包括日期或日期范围可以确定“何时”,添加名称可以显示您的身份。Masas表示,对于黑客获取该级别的曝光率,他们需要让用户在登录Google照片时打开恶意网站或登录网页广告中包含恶意JavaScript的网页。最有可能的是,不良演员会使用网络钓鱼方案诱骗用户。
WebView有问题
Positive Technologies在新闻稿中表示,它发现的漏洞(CVE-2019-5765)会影响Android 4.4及更高版本,WebView组件应该受到指责。在其开发者网站上,Google解释说“当您需要增加对UI和高级配置选项的控制时,WebView非常有用,这些选项允许您在专门设计的应用环境中嵌入网页。”WebView是Android Instant Apps的基础,一个功能,基本上可以让你在手机上试用一个应用程序,而无需下载整个东西。
由于WebView是Chromium引擎的一部分,Positive Technologies表示任何基于Chromium的浏览器都容易受到攻击。谷歌浏览器更受欢迎,但三星互联网浏览器和Yandex浏览器也受到影响。
Positive Technologies的Leigh-Anne Galloway描述了攻击如何发挥作用:“最明显的攻击场景涉及鲜为人知的第三方应用程序。在包含恶意负载的更新之后,此类应用程序可以从WebView读取信息。“她说攻击者可以访问用户的浏览器历史记录,身份验证令牌,标题等。
修补
Google照片漏洞已经过修补。对于使用Android 7.0或更高版本的用户,简单的Chrome浏览器更新应该可以减轻WebView问题的任何威胁,因为该错误已在Chrome 72(1月发布)中修补。运行早期版本Android的用户必须通过Google Play更新WebView。Positive Technologies表示,如果在给定设备上没有Google Play,用户需要直接从设备制造商处获取WebView更新。