Bilder og videoer lagret på Google-bilder Er dårlig beskyttet bak en enkel, forvirret web-lenke?
Google Foto er uten tvil en av de mest populære skybaserte lagringsløsninger som også er integrert i andre Google-produkter og -tjenester. Imidlertid har den også et ganske forenklet beskyttelseslag for media som brukerne lagrer og deler, oppdaget en forsker. Det eneste som står mellom offentlig eksponering av private delte bilder og videoer er en forvirret web-lenke. Eiere av medier, som ønsker å dele dem med en bestemt person, tilbys en lenke som kan deles. I hovedsak er det Google Foto som oppretter en lenke. Imidlertid, i stedet for å tilby eller tillate begrenset tilgang bare til de autoriserte kontoene, kan alle med tilgang til nettkoblingen enkelt få tilgang til og se innholdet.
Google Photo-brukere må advares om et ganske rart smutthull som i hovedsak øker eksponeringen av deres private innhold, inkludert bilder og brukere som er lagret på plattformen. Private lenker som er opprettet for å dele media, kan enkelt brukes av alle for å se det samme. Med andre ord ble private delte lenker offentlig tilgjengelige. Det er unødvendig å si at dette er et ganske seriøst tilsyn, og absurd hvordan Google kan la dette skje.
Hvordan blir private delte medier på Google Foto offentlig tilgjengelige?
Forsker Robert Wiblin over 80.000 timer oppdaget nylig sikkerhetsforløpet som i hovedsak avslørte privat innhold lagret på Google Foto og gjorde det offentlig tilgjengelig. Han forsøkte og lyktes i å gjenskape scenariet flere ganger, og ved hver anledning er de private delte lenkene offentlig tilgjengelige fra hvilken som helst Google-konto. Overraskende nok trenger ikke folk som ønsket å se på innholdet, inkludert bilder og videoer, være logget på en Google-konto. I hovedsak kan alle som har tilgang til den delte lenken til Google Photos-media, fungerende internett og en nettleser, bare se innholdet ubegrenset. De trenger ikke spesifikke tillatelser for å få tilgang til media, eller til og med en Google-konto for å gjøre det. Alt som kreves er tilgang til nettlenken.
Google er avhengig av forvirring som det eneste forsvaret mot uautorisert tilgang til delte medier på Google Foto?
Det er tydelig at Google ikke distribuerer flere beskyttelsesforanstaltninger og digitale døråpninger for å forhindre at uvedkommende får tilgang til delte bilder og bilder på Google Foto. Søkegiganten er bare avhengig av tilsløring av nettlenken til det delte innholdet som den eneste beskyttelsen som står mellom innhold og autorisert eller uautorisert tilgang.
Til Googles forsvar er det praktisk talt umulig for hackere eller personer med ondsinnet hensikt å gjette nettkoblingen som gir tilgang til de delte bildene og videoene. Imidlertid kan en liten feil i fremtiden tillate hackere å gjøre det ved å reverse-engineering algoritmen som fungerer for å generere URL. Med enkle ord kan brute force-angrep, som bruker kraftig databehandlingsmaskinvare for å gjette URL-en, kanskje aldri gi tilgang til delte medier på Google Foto.
Imidlertid er det latterlig enkelt å få tilgang til riktig og fullstendig nettkobling gjennom noen andre ofte distribuerte teknikker. Tredjeparter, som ikke skal kunne se innholdet, kan lett sikre URL-en som gir dem tilgang på Google Foto. Noen av de vanligste metodene for å tilbringe URL-en inkluderer nettverksovervåking, utilsiktet deling eller ukryptert e-post. Videre kan hackere distribuere sosial engineering for å få folk til å utilsiktet eller ved et uhell dele lenkene. Å få tilgang til URL-en er egentlig det eneste trinnet som kreves. Alle som har tilgang til lenken, kan da bare sette lenken i en hvilken som helst nettleser og se de delte mediene. Det som er enda mer bekymringsfullt er at uvedkommende kan få tilgang til innholdet selv om de ikke er logget på en Google-konto.
Google oppgir ikke åpent slik dårlig beskyttelse på Google Photos, men tilbyr en sikkerhetsbryter
Robert Wiblin insisterer på at Google Foto ikke avslører dette for kunden. Enda mer bekymringsfullt er at det ikke er noen endelig måte å bestemme eller fastslå mediestatistikken på. Det er med andre ord ingen riktig informasjon som Google-kunder kan søke for å avgjøre hvor ofte og av hvem de delte bildene ble sett på.
Google er kjent for sin enkelhet og brukervennlighet. Produktene den utvikler, er vanligvis uten den kompliserte innstillingssiden. Brukere kan raskt navigere eller til og med søke etter en bestemt innstilling. Oftere enn ikke er de fleste av de relevante innstillingene for en bestemt handling eller kommando synlige mens de utfører det samme. Dette er imidlertid ikke tilfelle for Google Foto, og spesielt ikke for deling av medier.
Google Foto gir ingen klar og direkte informasjon om hvordan deling av media kan deaktiveres, slik at andre ikke får tilgang til det lenger. Brukere av tjenesten må få tilgang til delingsmenyen og sveve over det spesielle delte albumet. En meny som dukker opp tilbyr et alternativ for å slette albumet. Det er imidlertid en annen måte å begrense uautorisert tilgang til delte medier på Google Foto. I stedet for å slette hele albumet, kan brukerne søke etter et alternativ for å slutte å dele lenken i albumalternativene.
Denne nylig oppdagede og fremdeles brukbare metoden for å få tilgang til innhold uten eksplisitt tillatelse er ganske alvorlig. Google Photos-grensesnittet er ganske likt Google Drive. Videre var de to iboende knyttet til veldig nylig. Dette får flere brukere til å anta at Photos har samme autorisasjon og begrensninger som Drive. Det er imidlertid tydeligvis ikke tilfelle. Videre har den nylige delinkingen ytterligere komplisert sakene.
Interessant, det kan ikke være så vanskelig for Google å matche delingsatferden i Google Foto til den på Google Disk. Google Drive behandler private aksjer på samme måte som "Private" videoer på YouTube. Bare autoriserte seere har tilgang til slike videoer. Imidlertid ser Google Foto ut til å behandle media som 'Ikke-oppførte' videoer på YouTube. Hvis en person har en lenke til videoen, kan han enkelt se den samme. Hvis bilder begynner å legge til autentiserings- og begrensningsregler i URL-en eller på destinasjonssiden, kan mediene beskyttes mot uautorisert tilgang.