- A+
所属分类:安全技术
国际网络安全研究所的在线道德黑客培训专家报告称,谷歌照片中存在漏洞,恶意行为者可以利用该漏洞访问用户所在地的历史记录。
根据在线道德黑客培训的教师,使用漏洞利用和很少的社会工程技术,恶意网站可能暴露了用户的Google照片中拍摄图像的位置。
其中一名调查员使用HTML绑定标记为Google Photos和Javascript搜索终点创建多个交叉源请求,以衡量事件激活所需的时间。 后来他能够计算搜索查询的参考时间,该参考时间将产生零结果。
然后,研究人员对以下查询进行了定时:“来自冰岛的我的照片”并将结果与基线进行比较,从而发现,如果搜索时间长于基线,则可以假设查询结果,推断一个网站的现在访客在冰岛。
在线上道德黑客训练中提到,当您在搜索查询中添加日期时,您可以检查照片是否在特定时间范围内拍摄; 通过使用不同的时间范围重复此过程,您可以获得用户访问特定地点,商店或国家/地区时的近似结果。
道德黑客攻击专家补充说,为了使攻击有效,受害者必须在连接到他们的Google帐户时打开恶意网站,恶意代码会生成请求Google照片搜索端点提取真或假的答案攻击者在恶意活动期间进行的任何查询。
二零一九年三月二十日