Google Fotos a Android per obtenir més funcions noves: anunciat
Google Photos és, amb diferència, una de les solucions d’emmagatzematge basades en el núvol més populars que s’integra també en altres productes i serveis de Google. No obstant això, també té una capa de protecció bastant simplista per als mitjans que els usuaris emmagatzemen i comparteixen, va descobrir un investigador. L’únic que hi ha entre l’exposició pública de fotos i vídeos compartits de manera privada és un enllaç web ofuscat. Als propietaris de mitjans de comunicació, que vulguin compartir-los amb una persona concreta, se’ls ofereix un enllaç que es pot compartir. Bàsicament, és Google Photos el que crea un enllaç. Tanmateix, en lloc d’oferir o permetre l’accés restringit només als comptes autoritzats, qualsevol persona que tingui accés a l’enllaç web pot accedir i veure el contingut fàcilment.
Cal advertir els usuaris de Google Photo sobre una llacuna bastant estranya que augmenta essencialment l’exposició del seu contingut privat, incloses les fotos i els usuaris emmagatzemats a la plataforma. Qualsevol persona pot utilitzar fàcilment els enllaços privats creats per compartir els mitjans de comunicació. En altres paraules, els enllaços compartits de manera privada es van fer públics. No cal dir que es tracta d’una supervisió bastant seriosa i absurda de com Google pot permetre que això passi.
Com es pot accedir públicament als mitjans compartits de manera privada a Google Fotos?
Investigador Robert Wiblin a les 80.000 hores recentment va descobrir el lapse de seguretat que exposava essencialment el contingut privat emmagatzemat a Google Fotos i el feia accessible públicament. Va intentar i va aconseguir recrear l’escenari diverses vegades i, en cada ocasió, els enllaços compartits de manera privada són accessibles públicament des de qualsevol compte de Google. Sorprenentment, les persones que volien veure el contingut, incloses les fotos i els vídeos, no necessiten iniciar sessió en un compte de Google. En essència, qualsevol persona que tingui accés a l’enllaç compartit als mitjans de Google Photos, a Internet que funciona i a un navegador web, simplement pot veure el contingut sense restriccions. No necessitarien permisos específics per accedir als mitjans, ni tan sols un compte de Google per fer-ho. Tot el que cal és l'accés a l'enllaç web.
Google confia en l’ofuscació com a única defensa contra l’accés no autoritzat a mitjans compartits a Google Fotos?
És clar que Google no desplega múltiples proteccions i portes digitals per evitar que persones no autoritzades puguin accedir a imatges i fotos compartides a Google Fotos. El gegant de la cerca només depèn de l’ofuscació de l’enllaç web al contingut compartit com a única protecció entre el contingut i l’accés autoritzat o no autoritzat.
En defensa de Google, és pràcticament impossible que els pirates informàtics o les persones amb intenció malintencionada endevinin l’enllaç web que permet accedir a les fotos i els vídeos compartits. Tanmateix, en el futur, un petit defecte pot permetre als pirates informàtics fer-ho mitjançant l’enginyeria inversa de l’algoritme que funciona per generar l’URL. En paraules simples, és possible que els atacs de força bruta, que fan servir un potent maquinari informàtic per endevinar l'URL, mai no puguin concedir accés a mitjans compartits a Google Fotos.
Tanmateix, accedir a un enllaç web correcte i complet és ridículament senzill mitjançant algunes altres tècniques que es fan servir habitualment. Tercers, que no haurien de poder veure el contingut, podrien assegurar fàcilment l’URL que els permet accedir a Google Fotos. Alguns dels mètodes més habituals d’usurpació de l’URL inclouen la supervisió de xarxa, l’ús compartit accidental o el correu electrònic sense xifrar. A més, els pirates informàtics podrien desplegar enginyeria social per aconseguir que la gent compartís els enllaços de manera involuntària o accidental. Obtenir accés a l'URL és essencialment l'únic pas necessari. Qualsevol persona que tingui accés a l'enllaç, simplement, pot posar l'enllaç en qualsevol navegador web i veure el contingut compartit. El que és més preocupant és que les persones no autoritzades poden accedir al contingut encara que no tinguin la sessió iniciada en un compte de Google.
Google no declara obertament una protecció tan deficient a Google Photos, però ofereix un canvi de seguretat
Robert Wiblin insisteix que Google Photos no revela aquest fet al client. Encara més preocupant és que no hi ha una manera definitiva de determinar o determinar les estadístiques dels mitjans de comunicació. Dit d’una altra manera, no hi ha informació adequada que els clients de Google puguin buscar per determinar amb quina freqüència i per qui es van veure les fotos compartides.
Google és conegut per la seva senzillesa i facilitat d’ús. Els productes que desenvolupa normalment no tenen la complicada pàgina de configuració. Els usuaris poden navegar ràpidament o fins i tot cercar una configuració concreta. Sovint, la majoria dels paràmetres rellevants per a una acció o una ordre particulars són visibles mentre s’executa la mateixa. Tanmateix, aquest no és el cas de Google Fotos i, sobretot, per compartir contingut multimèdia.
PDA: els recursos compartits de Google Fotos són públics per defecte (no hi ha manera de restringir-los) https://t.co/Toc01tUNw7
- Sergey Vershinin (@svershin) 16 de juliol de 2019
Google Fotos no ofereix informació clara i directa sobre com es pot desactivar l’ús compartit dels mitjans de comunicació perquè altres persones ja no hi puguin accedir. Els usuaris del servei han d’accedir al menú per compartir i passar el cursor per sobre de l’àlbum compartit concret. Un menú que apareix ofereix una opció per suprimir l'àlbum. Tanmateix, hi ha una altra manera de restringir l'accés no autoritzat a mitjans compartits a Google Fotos. En lloc de suprimir tot l'àlbum, els usuaris poden cercar una opció per deixar de compartir l'enllaç a les opcions de l'àlbum.
Aquest mètode recentment descobert i que encara es pot utilitzar per accedir al contingut sense permís explícit és força greu. La interfície de Google Fotos és força similar a Google Drive. A més, els dos van estar intrínsecament vinculats fins fa molt poc. Això fa que diversos usuaris assumeixin que Photos té la mateixa autorització i restriccions que Drive. Tot i això, és clar que no és així. A més, el recent desvinculació ha complicat encara més els assumptes.
Curiosament, pot ser que no sigui tan difícil per a Google fer coincidir el comportament compartit de Google Fotos amb el de Google Drive. Google Drive tracta els recursos compartits privats de manera similar als vídeos 'privats' de YouTube. Només els espectadors autoritzats poden accedir a aquests vídeos. Tanmateix, sembla que Google Fotos tracta els mitjans de comunicació com a vídeos 'no inclosos' a YouTube. Si una persona té un enllaç al vídeo, pot veure el mateix fàcilment. Si Fotos comença a afegir regles d’autenticació i restricció a l’URL o a la pàgina de destinació, es pot protegir el contingut multimèdia de l’accés no autoritzat.
Etiquetes Google Fotos
