Google Photos на Android, за да получите повече нови функции: Съобщено
Google Photos е едно от най-популярните базирани на облак решения за съхранение, които са интегрирани и в други продукти и услуги на Google. Той обаче има и доста опростен защитен слой за медиите, които потребителите съхраняват и споделят, откри изследовател. Единственото нещо, което стои между публичното излагане на частно споделени снимки и видеоклипове, е неясна уеб връзка. На собствениците на медии, които желаят да ги споделят с конкретно лице, се предлага връзка, която може да бъде споделена. По същество Google Photos създава връзка. Въпреки това, вместо да предлага или разрешава ограничен достъп само до упълномощените акаунти, всеки, който има достъп до уеб-връзката, може лесно да осъществява достъп и да преглежда съдържанието.
Потребителите на Google Photo трябва да бъдат предупредени за доста странна вратичка, която значително увеличава експозицията на тяхното лично съдържание, включително снимки и потребители, съхранявани в платформата. Частните връзки, създадени за споделяне на мултимедия, могат лесно да бъдат използвани от всеки, за да се видят същите. С други думи, частно споделените връзки станаха обществено достъпни. Излишно е да казвам, че това е доста сериозен пропуск и абсурдно как Google може да позволи това да се случи.
Как частно споделените медии в Google Photos стават обществено достъпни?
Изследовател Робърт Уиблин над в 80 000 часа наскоро откри пропуската в сигурността, която по същество разкрива частно съдържание, съхранявано в Google Photos, и го прави обществено достъпно. Той се опита и успя да пресъздаде сценария няколко пъти и при всеки случай частно споделените връзки са публично достъпни от всеки акаунт в Google. Изненадващо е, че хората, които искат да разгледат съдържанието, включително снимки и видеоклипове, не е необходимо да влизат в акаунт в Google. По същество всеки, който има достъп до споделената връзка към медиите на Google Photos, работещия интернет и уеб браузър, може просто да гледа съдържанието неограничено. Те няма да се нуждаят от конкретни разрешения за достъп до медиите или дори акаунт в Google, за да го направят. Необходим е само достъп до уеб-връзката.
Google разчита на замъгляването като единствената защита срещу неразрешен достъп до споделена медия в Google Photos?
Ясно е, че Google не разполага с множество предпазни мерки и цифрови врати, за да предотврати достъпа на неупълномощени хора до споделени изображения и снимки в Google Photos. Гигантът за търсене разчита само на замъгляването на уеб-връзката към споделеното съдържание като единствената защита, която стои между съдържанието и разрешения или неоторизиран достъп.
В защита на Google е практически невъзможно хакери или хора със злонамерено намерение да познаят уеб връзката, която предоставя достъп до споделените снимки и видеоклипове. Въпреки това, в бъдеще малък недостатък може да позволи на хакерите да го направят чрез обратно проектиране на алгоритъма, който работи за генериране на URL адреса. С прости думи, атаките с груба сила, които използват мощен компютърен хардуер, за да познаят URL адреса, може никога да не могат да предоставят достъп до споделена медия в Google Photos.
Получаването на достъп до правилната и пълна уеб-връзка е абсурдно просто чрез някои други често използвани техники. Трети страни, които не трябва да могат да виждат съдържанието, биха могли лесно да защитят URL адреса, който им предоставя достъп в Google Photos. Някои от най-често срещаните методи за узурпиране на URL адреса включват мрежово наблюдение, случайно споделяне или некриптиран имейл. Освен това хакерите могат да внедрят социално инженерство, за да накарат хората да споделят неволно или случайно връзките. Получаването на достъп до URL адреса е по същество единствената необходима стъпка. След това всеки, който има достъп до връзката, може просто да я постави във всеки уеб браузър и да прегледа споделената медия. Още по-притеснителното е, че неоторизирани хора имат достъп до съдържанието, дори ако не са влезли в акаунт в Google.
Google не заявява открито такава лоша защита на Google Photos, но предлага превключвател за сигурност
Робърт Уиблин настоява, че Google Photos не разкрива този факт на клиента. Още по-тревожно е, че няма окончателен начин за определяне или установяване на статистиката на медиите. С други думи, няма подходяща информация, която клиентите на Google да търсят, за да определят колко често и от кого са гледани споделените снимки.
Google е известен със своята простота и лекота на използване. Продуктите, които разработва, обикновено са лишени от сложната страница с настройки. Потребителите могат бързо да навигират или дори да търсят определена настройка. По-често повечето от съответните настройки за конкретно действие или команда са видими, докато се изпълняват същите. Това обаче не важи за Google Photos и особено за споделяне на медии.
PDA - Споделянето на Google Photos е публично по подразбиране (няма начин за ограничаване) https://t.co/Toc01tUNw7
- Сергей Вершинин (@svershin) 16 юли 2019 г.
Google Photos не предлага ясна и директна информация за това как споделянето на мултимедия може да бъде деактивирано, така че другите да не могат повече да имат достъп до тях. Потребителите на услугата трябва да имат достъп до менюто за споделяне и да задържат курсора на мишката върху конкретния споделен албум. Изскачащото меню предлага опция за изтриване на албума. Има обаче друг начин за ограничаване на неоторизиран достъп до споделена медия в Google Снимки. Вместо да изтрият целия албум, потребителите могат да търсят опция за спиране на споделянето на връзката в опциите на албума.
Този наскоро открит и все още използваем метод за достъп до съдържание без изрично разрешение е доста сериозен. Интерфейсът на Google Photos е доста подобен на Google Drive. Нещо повече, двамата бяха неразривно свързани до съвсем скоро. Това кара няколко потребители да приемат, че Photos има същото разрешение и ограничения като Drive. Очевидно обаче това не е така. Освен това неотдавнашното прекъсване на връзката допълнително усложни нещата.
Интересното е, че може да не е толкова трудно за Google да съпостави поведението за споделяне в Google Photos с това на Google Drive. Google Drive третира частни споделяния по подобен начин като „Частни“ видеоклипове в YouTube. Само оторизирани зрители имат достъп до такива видеоклипове. Изглежда обаче, че Google Photos третира медиите като видеоклипове в YouTube, които не са включени в списъка. Ако човек има връзка към видеото, той може лесно да гледа същото. Ако Photos започне да добавя правила за удостоверяване и ограничение в URL или на целевата страница, тогава носителят може да бъде защитен от неоторизиран достъп.
Етикети Google Снимки
