можно ли взломать гугл фото
Уязвимость в «Google Фото» позволяла рассекретить данные пользователей
Увлекшись поисками недостатков в программных продуктах конкурентов, Google, кажется, совершенно забыла об обеспечении безопасности своих собственных. Как выяснили исследователи компании Imperva, приложение «Google Фото» содержало критическую уязвимость, которая при должных навыках злоумышленника могла раскрыть идентифицирующие данные о жертве и ее близких, в том числе сведения о местах и времени пребывания, что, по логике, должно быть строжайше засекречено.
По словам Рона Масаса, исследователя Imperva, уязвимость, о которой идет речь, скрывалась в механизме обработки метаданных «Google Фото». Мало того, что приложение получает геолокационные данные о месте создания снимка, так благодаря работе технологии распознавания лиц еще и узнает, кто именно запечатлен на конкретной фотографии. Если речь идет о фотографиях ребенка, «Google Фото» может даже отслеживать изменения в его внешности, которые происходят с годами.
Взломать аккаунт Google
Большая часть всей информации, которую получает «Google Фото», привязывается к учетной записи пользователя, откуда их при должной сноровке можно запросто извлечь. После нескольких проб и ошибок, признается Масас, ему удалось найти оптимальный способ выемки данных обо всех путешествиях жертвы, ее перемещениях по городу, детях, их именах и внешности. По большому счету, признается исследователь, любой, кто понимает, как использовать cross-origin запросы и JavaScript, сможет проделать то же самое.
На момент выхода публикации уязвимость в «Google Фото» была исправлена. В соответствии с принятым в среде исследователей в области кибербезопасности правилом, любой, кто обнаружил уязвимость в программном продукте, должен сообщить о ней автору и не предавать полученную информацию огласке в течение 90 дней. Предполагается, что этого времени должно с лихвой хватить на устранение даже самой опасной бреши.
Подпишись на наш канал в Яндекс.Дзен, чтобы не пропустить все самое интересное.
В системе безопасности Google Фото имеется серьезная уязвимость, о которой вы не знали
Каким бы продвинутым и хорошо защищенным не был бы тот или иной сервис. Какие бы заявления о том, что пользоваться их продуктами максимально безопасно не делали разработчики. Как бы вы не доверяли той или иной компании. Любой цифровой продукт имеет недоработки и «дыры» в системе безопасности, которые рано или поздно могут быть использованы против вас. И совсем недавно стало известно, что очень популярный сервис Google Фото может позволить легко утечь вашим данным в сеть. Причем для этого злоумышленникам практически не нужно обладать «хакерскими навыками».
Если вы регулярно делаете снимки на свой смартфон (а сегодня это делает практически 100% всех пользователей), то вам наверняка хочется поделиться ими с друзьями или членами семьи. И говорим мы сейчас вовсе не о специализированных приложениях вроде Instagram. Речь идет о встроенной функции Google Фото, которая позволяет вам делиться вашими фотографиями, расположенными на серверах сервиса. При этом по-умолчанию все ваши фото синхронизируются с «облаком» и снимки или альбомы получают специальную ссылку вида https://photos.app.goo.gl/[имя фото или альбома], которую вы можете отправить. Именно тут то и затаилась уязвимость.
Когда вы копируете эту ссылку и оправляете ее кому-то из листа контактов, кажется, что эта ссылка является приватной, но это далеко не так. Дело в том, что проследовать по указанному адресу может любой пользователь вне зависимости от того, отправляли вы ему ссылку на фото или нет. А это значит, что ваши личные фотографии находятся, фактически, в общем доступе.
Что делать?
На данный момент возможность создания частных ссылок на фото или альбомы, как это организованно в Google Диск, была бы идеальным и логичным решением. Проблема в том, что эту функцию Google на так давно удалила. Таким образом любые ссылки на ваши фотографии, расположенные в Google Фото, являются публичными.
Поэтому варианта в данном случае всего два. Первый — отключить синхронизацию с Google Фото, если вы боитесь утечки ваших фотографий в сеть. Но в этом случае при потере устройства вы не сможете восстановить утраченные фотографии и видеозаписи. Поэтому есть второй способ — пользоваться в качестве источника для синхронизации фотографий сторонними сервисами. Например, тот же Dropbox отлично умеет сохранять фото из галереи в «облако» в автоматическом режиме. Подобными функциями обладают и другие облачные хранилища.
Так что, если вы беспокоитесь о конфиденциальности ваших фотографий, то лучше обезопасить себя и на какое-то время заменить Google Фото чем-нибудь другим. Ну а обсудить эту новость, абсолютно не опасаясь за утечку данных, вы можете в нашем чате в Телеграм.
Как я воровал данные с пользовательских аккаунтов в Google
Вы со мной не знакомы, но существует известная вероятность, что я знаком с вами. Причина в том, что у меня есть полный, неограниченный доступ к приватной информации миллионов людей, размещённой на аккаунтах Google. Отправленные по почте выписки по банковским счетам, медицинские документы, хранящиеся на Google Drive, сохранённые и пересланные чаты из Facebook, голосовые сообщения на Google Voice, личные фотографии на Google Photos. Список можно продолжать. Никто из них не знает об этом сейчас и никогда не узнает в будущем. Возможно, в их число входите и вы.
И как же я такое провернул? Всё началось с разработанного мной приложения. По очевидным причинам, обнародовать название я не стану. Приложение довольно нехитрое, оно рассчитано на людей, увлекающихся фитнесом, и предлагает возможности типа внесения данных о скорости во время пробежки или готовых комплексов силовых упражнений. Как и многие другие продукты, оно требует, чтобы пользователь первым делом создал аккаунт. По данным аналитики, примерно 60% людей вместо того, чтобы полностью проходить процедуру регистрации, соблазняются заманчивой кнопкой «Войти с Google».
Вы, наверное, в общих чертах знаете, что происходит в таких случаях: когда пользователь нажимает на кнопку, внутри приложения открывается браузерное окошко входа в аккаунт Google.
У данного пользователя подключена двухфакторная идентификация, поэтому после того, как он ввёл почту и пароль, выскакивает диалоговое окошко, уточняющее, точно ли это он. Местоположение и тип устройства совпадают, поэтому он кликает на «Да».
Вот, собственно, и всё. Теперь человек может спокойно пользоваться приложением, а я, между тем, получаю полный, неограниченный доступ к его аккаунту с удалённого сервера. Ему никогда не придёт никаких сообщений по этому поводу. А если он окажется из дотошных и начнёт изучать сетевой трафик, то увидит, что устройство направляло сетевые запросы только и исключительно на различные поддомены google.com.
Но как такое вообще возможно? Давайте вернёмся к нашей кнопке «Войти с Google». Сразу проясним одну вещь: для тех, кто не в курсе, после нажатия этой кнопки приложение может сделать всё что угодно. Запустить процесс авторизации в Google, издать трубный глас, показать гифку с котиком. Не все варианты из этого списка равно вероятны, но помечтать-то можно.
В моём случае, по клику на кнопку приложение при помощи WebView открывает диалоговое окно и задаёт веб-адрес: accounts.google.com/EmbeddedSetup. Он действительно соответствует странице входа в аккаунт Google, только особой, рассчитанной на новые устройства Android. Это обстоятельство сыграет свою роль позже, когда нам любезно предоставят всю необходимую информацию в виде cookie.
К сожалению, эта страница и выглядит, и действует иначе, чем стандартная страница авторизации (по крайней мере, такая, какой она должна быть по умолчанию):
Обратите внимание на странную синюю полоску, слова Learn more и примерно всё на правой картинке
И вот теперь-то начинается веселье. Я использую стандартные API, встроенные как в iOS, так и в Android, чтобы внедрить тщательно прописанный фрагмент кода на Javascript, который произведёт необходимые модификации, чтобы страница не отличалась от стандартной ни своим видом, ни поведением.
Догадливые сейчас подумают: «Стоп, так раз можно внедрить код на JavaScript, что мешает просто похитить логин и пароль прямо из текстовых полей?». Абсолютно ничего – вообще говоря, для этой цели уже и готовый код существует. Но в наше время доступа к логину и паролю уже недостаточно. Разве что очень повезёт и сервер окажется в радиусе нескольких сотен миль от местоположения пользователя. В противном случае пользователь получит письмо и оповещение с сообщением о «подозрительной активности» и попытка взлома будет пресечена. А двухфакторная авторизация усложняет нам жизнь ещё сильнее.
Так что давайте поговорим о чём-нибудь другом, например, о мастер-токене. На первый взгляд, выглядит как-то недобро, а на второй – оказывается ещё хуже, чем казалось.
Когда на устройстве Android впервые проводится процедура авторизации, он отсылает токен, полученный от вышеупомянутой встроенной страницы входа в аккаунт, на особый endpoint. Вот пример типичного запроса:
Токен в этом запросе берётся из cookies страницы входа в аккаунт, а всё остальное – информация, которая находится в открытом доступе (спасибо, microG!). Та же страница входа в аккаунт улаживает дела с двухфакторной авторизацией – нам вообще не приходится ничего предпринимать.
После этого вышеупомянутый endpoint отсылает тот самый мастер-токен. Но как бы мне получить к нему доступ без подозрительных сетевых запросов? Очень просто: через лог в Google Firebase.
А мастер-токен – это мощная штука. У него неограниченный срок действия при условии, что пользователь не меняет пароль или настройки двухфакторной идентификации. Насколько мне известно, он не подвергается никаким проверкам безопасности, невзирая на местоположение, IP и производимые действия. Он никогда не провоцирует систему на отправление пользователю уведомления или письма.
И главное: он открывает мне путь ко всем без исключения сервисам, которые когда-либо были доступны с мобильного устройства, от лица владельца соответствующего аккаунта. Достаточно одного запроса POST, чтобы я мог прикинуться официальным аккаунтом Google и обзавестись OAuth-токеном для доступа к чему угодно, включая частные (и, скорее всего, нигде не опубликованные) API. Я могу читать письма, бродить по Google Drive, просматривать бэкапы с телефона и фотографии на Google Photos, а заодно ознакомиться с веб-историей пользователя и поболтать с его друзьями по Google Messenger. Я даже создал модифицированную версию microG, с которой могу управлять всеми этими пользовательскими аккаунтами непосредственно из обычных приложений Google.
И напоминаю, весь процесс выглядит вот так. Предлагаю всем задаться вопросом: а вы бы попались?
Разоблачение
Как многие из вас уже догадались, не всё в этой статье правда. Я не публиковал никаких фитнес-приложений на Play Store и не собирал миллионы мастер-токенов. Спасибо этому материалу за вдохновение. Но сам метод работает. Я, да и любой другой разработчик, определённо мог бы сделать приложение с таким сюрпризом (возможно, кто-то уже и сделал).
Но ведь страница отличается от нормального входа в аккаунт. Я бы заметил!
Отличия не так уже бросаются в глаза, так что, скорее всего, не заметили бы. Страница входа в аккаунт Google на Android, как правило, имеет интерфейс типа «выберите аккаунт», но бывают и исключения – например, многие веб-приложения, вроде тех, которые делают на Ionic и Cordova. Большинство iOS-приложений тоже часто отдают предпочтение веб-версии, очень напоминающей приведённый вариант. Кроме того, даже если вам кажется, что отсутствие экрана с «такое-то приложение просит доступ…», вас точно насторожит, то его вполне можно внедрить ценой нескольких лишних часов работы.
Это и на iOS работает?
Я не пробовал, но нет оснований считать, что не сработает.
И что с этим делать?
Вообще, вопрос сложный. Ни одно из моих действий, строго говоря, не подпадает под определение эксплойта, но результат, тем не менее, несёт большую опасность. Для начала Google неплохо бы разобраться со своими уведомлениями насчёт «входа с нового устройства», чтобы они нормально работали. Лично я их получаю, когда пытаюсь зайти в аккаунт с компьютера, но, пока тестировал это приложение, система не сработала ни разу. Другая хорошая идея – обновить гайдлайны, в том, что касается кнопок «Войти с Google»; сейчас там вообще ничего не говорится о требованиях к реализации. Возможно, им стоило бы углубиться в дебри безопасности через неясность – этот принцип, несмотря на все свои недостатки, пока что отлично служит Apple для обеспечения безопасности в iMessage.
Вынужден признать: у меня нет уверенности, что тут можно найти техническое решение, которое полностью устранило бы проблему. Если у официального приложения Google есть возможность выполнить какое-то действие, значит, и сторонние программы при должном старании смогут его повторить. Впрочем, в компании работают неглупые люди, так что поживём – увидим.
Эта проблема актуальна для всех систем авторизации в сторонних приложениях?
Вполне вероятно. Я не разбирался досконально, в каких случаях рассылаются оповещения, а в каких – нет, но даже когда оповещения приходят, из них не всегда понятно, что происходит. Функция «Войти с Apple», как бы там ни было, снабжена очень жёстким гайдлайном, причём администрация App Store (где функция, полагаю, в основном и используется) строго отслеживает выполнение требований. С другой стороны, у них свои проблемы с авторизацией, на фоне которых эта меркнет.
Реальная история
Пусть это были не миллионы, но небольшое количество мастер-токенов у ничего не подозревающих пользователей я как-то раз действительно собрал, причём совершенно непреднамеренно.
Реальная история моего прозрения началась с того, что я разработал приложение-проигрыватель Carbon Player; сейчас оно уже кануло в лету, так и не получив широкого распространения. Приложение замышлялось как замена Google Play Music (помните времена, когда такое существовало?), только с дизайном в разы круче. Чтобы получить доступ к пользовательской папке с музыкой, я перевёл gmusicapi Саймона Вебера на Java, но, переписывая код, поначалу особо не вникал, как там устроен процесс авторизации. Понял только, что нужны логин и пароль пользователя, которые я запрашивал через незамысловатое диалоговое окошко, а потом идут какие-то запросы и вываливаются какие-то токены, которые мне подходят для извлечения музыки.
Перед тем как передать первую версию приложения небольшой группе тестировщиков, я прочесал код, везде добавил логирование и ещё внедрил интерцептор, который должен был автоматически загружать все логи на Firebase. Конечно, не логать пароли мне ума хватило, но три токена, полученные моей имплементацией gmusicapi, я по ошибке залогал. Два из них были довольно безобидными – давали доступ только к разным хранилищам музыки. А вот третий оказался мастер-токеном.
В общем, приложение за всё время своего существования собрало от силы двадцать пять скачиваний, и я быстро махнул на него рукой, чтобы не отвлекаться от учёбы. Но перед этим успел выпустить пару обновлений, в одном из которых появился редизайн новой отпадной (ну, по тем временам) домашней страницы Google Play Music – одного из немногих элементов исходного продукта, которые неплохо смотрелись.
Процесс оказался намного заморочнее, чем я думал, и пришлось неожиданно много заниматься обратной разработкой Protocol Buffers. Что важнее, по какой-то причине теперь там требовался совершенно иной токен, который в gmusicapi реализован уже не был. В итоге, чтобы его внедрить, я на несколько часов зарылся в систему авторизации, пытаясь разобраться, как она устроена. Это привело к ужасному моменту прозрения, когда я осознал, что логировал самую секретную информацию, какую только можно. Скажу одно: логирование прекратилось. Двадцать пять человек, которые скачали приложение, простите меня, пожалуйста (ваши токены я с Firebase удалил!).
Был ещё один, не связанный с первым случай, когда я работал в стартапе, создававшем менеджер паролей. Одним из ключевых преимуществ приложения было то, что оно хранило пароли строго на телефоне, но при этом позволяло авторизоваться с компьютера благодаря букмарклету на JavaScript, который «соединял девайсы» через QR-код. Чтобы всё проходило гладко, когда пользователь открывал сайт на компьютере, приложение обращалось к тому же сайту с телефона и внедряло тщательно прописанный фрагмент кода на JavaScript, который фиксировал логины, пароли и всё прочее. Знакомо звучит?
В конце концов, эти две идеи срослись у меня в голове. У меня был создан прототип Carbon Player, но не хватало времени взять его в работу. Спустя несколько лет я наконец начал создавать на его базе что-то вроде демо-версии. В процессе пришлось многое изменить – метод, описанный в этой статье, значительно отличается от того, что было реализовано в прототипе, поскольку Google внёс изменения в систему авторизации. Но конечный итог остаётся прежним и пугает не меньше, чем тогда.
Если хотите, можете скачать демо-версию и посмотреть на систему в действии; даю слово, что на облако ничего не логируется. Имейте в виду, что приложение очень простое и практически не тестировалось, так что есть немалая вероятность, что метод не сработает, если у вашего аккаунта иная конфигурация. Спасибо, что прочитали статью, надеюсь, вы получили удовольствие от небольшого напоминания о том, насколько важно ставить всё под сомнение. Даже самые безобидные вещи иногда таят внутри что-то не слишком приятное (хотя в случае с тортом-мороженым бывает и наоборот).
Как хакеры обманывают владельцев Android через «Google Фото»
Способов обмана населения придумано уже столько, что можно создавать отдельный сайт и писать там только об этом. Наверное, такие даже есть — я не проверял — но мы пишем только о самых необычных и новых способах ”относительно честного отъема денег у населения”. На этот раз хакеры отличились, пытаясь украсть у пользователей деньги при помощи Google Фото. Что-то подобное было, но именно такой способ сейчас снова набирает популярность. Интересно, что подобная схема может сработать и с другими популярными сервисами, но именно Google фото актуален почти для любого пользователя Android, а значит потенциально они все в опасности, если не смогут быть бдительными.
Google Фото пользуются большинство тех, у кого Android. Да и не только они.
Новый обман через Google Фото
Уже несколько раз я натыкался на сообщения о том, что пользователям приходили сообщения от сервиса Google Фото, в которых не было ничего подозрительного — они просто говорили о том, что фотографии успешно загружены.
Как говорится, загружены и загружены, только вот многие из тех, кто делает это не часто, могут удивиться и подумать, что произошла какая-то ошибка или кто-то украл их аккаунт. Такое ведь тоже не редкость.
Такое чувство, конечно, расстраивает и многие начинают искать пути решения проблемы. Я смею надеяться, что подавляющее большинство просто проверит свой аккаунт и поймет, что ничего и никуда они не загружали, но некоторые точно начнут принимать другие меры.
Как мошенники обманывают пользователей сервисов
Расчет мошенников идет на то, что жертва, которая получит письмо с якобы предупреждением, сразу начнет принимать меры. Оно пришло с адреса, в котором есть слово ”Google”, в нем нет подозрительных слов, что аккаунт взломан и ”нет времени объяснять — беги по этой ссылке”. Их просто предупреждают, а впечатлительный человек сам додумает, что там происходит.
В итоге он находит не навязчивую ссылку, которая предлагает ему перейти в настройки безопасности. После этого открывается сайт, который очень похож на Google — сделать такой нет никаких проблем — и уже там жертва может скачать приложение или расширение для браузера, которое поможет повысить уровень защиты. Скачиваться оно естественно будет не из Google Play, а в виде APK. Это уже должно натолкнуть на мысли.
У этого сервиса очень много возможностей, которыми приятно и полезно пользоваться.
Дальше нет ничего, кроме проблемы с хакерами. В лучшем случае они будут изводить вас рекламой или чем-то вроде этого, а в худшем подселят вам вирус, который будет воровать ваши данные вплоть до самого аккаунта. Бывают даже случаи прямого вымогательства денег путем блокировки устройства. В этом случае хакеры разблокируют его только, если вы заплатите. На днях я уже рассказывал про таких преступников, которые наживаются на теме коронавируса.
Многие схемы мошенников мы раскрываем в нашем новостном канале в Telegram. Присоединяйтесь, чтобы мир стал чуть-чуть безопасней.
Как защитить свой телефон от мошенников
Так получилось, что в этой статье я делаю упор на смартфоны, так как именно с них пользователи чаще всего выгружают фотографии, но жертвами могут быть и пользователи настольных компьютеров. Чтобы не стать такой жертвой, надо знать буквально пару вещей, на которые стоит обратить внимание, чтобы снизить шансы попасться на удочку мошенников с почти максимальных до ничтожных.
Если вы получили подобное письмо, сделайте себе одолжение и либо удалите его, либо подойдите к нему с максимальной тщательностью.
Полученное вами электронное письмо от Google Фото может выглядеть очень официально. На нем могут быть даже подлинные изображения логотипа Google, которые извлекаются непосредственно с адресов Google.com. Это хитрость, которую мошенники используют, чтобы придать своим сообщениям законный вид и таким образом сделать вас более склонными воспринимать их всерьез.
Если вы получаете электронное письмо от Google Фото или другого сервиса и вам предлагается перейти по ссылке, не стоит торопиться сделать это. Чем более активно вам говорят, что надо это сделать именно сейчас, тем больше стоит насторожиться.
Мошенники запустили свои руки уже в очень многие места. Надо уметь им противостоять.
Есть вероятность, что письмо настоящее, но прежде, чем верить ему, просто зайдите в свой профиль (не через письмо), откройте его в браузере или в приложении и проверьте, что там происходит. Если там все нормально и нет никаких фото, которые якобы загрузили за вас, то смело отправляйте письмо в спам или удаляйте. Не надо в нем нажимать вообще ничего.
Отправляя письмо в спам, вы помечаете отправителя, и если вас таких будет много, есть вероятность того, что у остальных пользователей подобное письмо тоже уйдет в спам.
Если все же вы загрузили программу, ни в коем случае не открывайте ее. Просто удалите файл и снова все будет хорошо. Также вообще надо быть очень внимательным к установке приложений из APK. Все нормальные приложения, особенно те, которые сделаны Google, есть в Google Play. Если приложение распространяется в обход, то надо задуматься, почему так происходит. Если это что-то крупное, вроде игры Fortnite, которая только недавно появилась в фирменном магазине приложений, еще можно расслабиться, но в остальном лучше быть начеку.
У меня взломали Гугл фото и есть риск распространения фотографий личного характера.
У меня взломали Гугл фото и есть риск распространения фотографий личного характера. Прошу проконсультировать как поступить и куда обращаться. Заранее спасибо.
Ответы на вопрос:
Обратитесь с заявлением в полицию, они проведут доследственную проверку.
Похожие вопросы
Бывший молодой человек угрожает распространением фотографий интимного характера, выкладывает такие фото в соц. сети. Следователи оТКазывают в возбуждении уголовного дела по статье распространение сведений, ТК на этих
фотографиях он скрывает моё лицо. Подскажите, пожалуйста, законно ли это?
Под какую статью попадает распространение в интернете личных фотографий интимного характера?
Хочу привлечь к ответственности за распространение личных фото сексуального характера куда обратиться, что писать, и какие предоставлять доказательства факта нарушения закона?
Является ли сотовый телефон и фотография личной информацией? В социальных сетях выложили фотографию с номером сотового телефона. Могу ли я подать заявление за распространение этой информации? Или как лучше поступить? Обратится в прокуратуру или полицию? Как правильно оформить заявление?
Я гражданка России, взломал мою страницу в контакте гражданин Украины. В личной переписке нашел фотографии моего друга и теперь предлагает мне внести деньги на его веб кошелек иначе эти фотографии получат все друзья моего друга. (фото интимного характера). Куда мне обращаться?
Я гражданка России, взломал мою страницу в контакте гражданин Украины. В личной переписке нашел фотографии моего друга и теперь предлагает мне внести деньги на его веб кошелек иначе эти фотографии получат все друзья моего друга. (фото интимного характера). Куда мне обращаться?