Дослідники компанії Imperva з’ясували, що додаток “Google Фото” містить критичну вразливість, яка за наявності певних навичок у зловмисника дозволяла розкрити ідентифікаційні дані жертви та її близьких, в тому числі відомості про місця та час перебування.
За словами дослідника Imperva Рона Масаса вразливість, про яку йдеться, ховалася у механізмі обробки метаданих “Google Фото”. Окрім того, що додаток отримує геолокаційні дані про місце створення фотознімка, так ще й завдяки технології розпізнавання облич дізнається, хто саме зафіксований на конкретній фотографії. “Google Фото” може навіть відслідковувати від змін у зовнішності, які відбуваються з роками.
Значна частина Вашої інформації, яку отримує “Google Фото”, прив’язується до облікових записів користувачів, звідки її за наявності відповідних навичок запросто можна отримати.
Як зізнається Масас, після декількох спроб, йому таки вдалося знайти оптимальний спосіб вибору даних про всі подорожі жертв, її переміщення містом, дітей, їх імена та зовнішності. Будь-хто, хто розуміє, як використовувати cross-origin запити і JavaScript, зможе повторити ті ж дії, вважає автор.
На момент виходу публікації уразливість у “Google Фото” була виправлена. Адже згідно з правилами дослідників у сфері кібербезпеки , той, хто знайшов уразливість у програмному продукті, повинен повідомити про неї автору та не оприлюднювати отриману інформацію протягом 90 днів. За цей час розробник має час усунути несправність.
Нагадаємо, 10 березня 2019 року в офіційному блозі Google з’явилася інформація про те, що компанії вдалося виявити у Windows 7 одразу дві критичних уразливості, які вже використовуються хакерами для впровадження шкідливого коду в операційній системі.
Також Intel попереджав користувачів Windows 10 про небезпеку застарілих графічних драйверів, у яких присутні серйозні уразливості. Корпорація рекомендує: драйвери необхідно оновлювати, встановивши всі патчі, які Intel випустила за минулий рік.
Для усунення двох десятків уразливостей різного ступеня небезпеки, Intel випустила оновлення драйверів для графічних чипів. Уразливості давали змогу зловмисникам підвищувати привілеї в локальній системі, красти дані або виводити пристрій з ладу. Однак обов’язковою умовою є локальний доступ до комп’ютерної системи.
