圖片來源: 

Google

Imperva的安全研究人員Ron Masas最近揭露了Google Photos服務的臭蟲,指出該臭蟲將允許第三方惡意網站汲取Google Photos用戶所存放的照片資訊,包括拍照時間、地點或對象等。

整合了人工智慧能力的Google Photos可利用照片的元資源替照片加上標籤,包括地理坐標或日期等;還能自動以文字描述照片,或是偵測照片中的物件與活動;另也具備了人臉辨識能力以判斷照片中的人物。

Masas則找到了可讓第三方網站透過旁路攻擊擷取上述資料的方法,他說Google Photos的搜尋終端容易受到基於瀏覽器的時序攻擊(timing attack),或稱跨站搜尋(Cross-Site Search)攻擊。

駭客只要誘導使用者造訪惡意網站,令他們同時登入Google Photos,就能向Google Photos的搜尋終端送出多種搜尋請求,先找到結果為零的回應時間作為基準線,再與其它的查詢進行比較,以用來推斷使用者是否曾造訪某地。例如Masas查詢了「我在冰島的照片」,假設回應時間比基準線還久,可判斷該使用者應曾到過冰島,也能在查詢字串中加入日期,重覆測試不同的時間點,即可得知該使用者在大約什麼時候去過冰島。

其實這類的攻擊行動有些繁瑣,因此並不普及,但Masas認為基於瀏覽器的旁路攻擊行動一直被忽視,迄今大概只有Google或臉書等大型科技業者會把它當作一回事,大多數的業者並未意識到它的風險。在Masas發文的當時,Google也已修補了此一臭蟲。


Advertisement

更多 iThome相關內容