Expertos de un curso de hacking ético online del Instituto Internacional de Seguridad Cibernética reportaron la aparición de una vulnerabilidad en Google Photos con la que un actor malicioso podría acceder al historial de ubicaciones de los usuarios.
Según los instructores del curso de hacking ético online, empleando un exploit y algo de ingeniería social, un sitio web malicioso podría haber expuesto las ubicaciones donde fueron capturadas las imágenes en Google Photos de un usuario.
Uno de los investigadores usó una etiqueta de enlace HTML para crear múltiples solicitudes de origen cruzado al punto final de búsqueda de Google Photos y Javascript para medir la cantidad de tiempo que llevó el evento a activarse. Posteriormente pudo calcular el tiempo de referencia de una consulta de búsqueda que arrojará cero resultados.
Después, el investigador cronometró la siguiente consulta “fotos mías de Islandia” y comparó el resultado con la línea de base, con lo que descubrió que, si el tiempo de búsqueda demoraba más que la línea de base, podría asumir los resultados de la consulta, infiriendo que el actual visitante de un sitio estuvo en Islandia.
En el curso de hacking ético online se mencionó que, al agregar una fecha a la consulta de búsqueda, se puede revisar si la foto se tomó dentro de un lapso de tiempo específico; repitiendo este proceso con diferentes rangos de tiempo, se puede conseguir un resultado aproximado al tiempo en que un usuario visitó un lugar o país en especial.
Los especialistas en hacking ético agregan que, para que el ataque resulte funcional, la víctima debe abrir un sitio web malicioso mientras está conectada a sus cuentas de Google, el código malicioso generará las solicitudes para que el endpoint de búsqueda de Google Photos extraiga respuestas verdaderas o falsas para cualquier consulta realizada por el atacante.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad