Fotos og videoer, der er gemt på Google Fotos, er dårligt beskyttet bag et simpelt tilsløret weblink?

Google Fotos er langt en af ​​de mest populære skybaserede lagerløsninger, der også er integreret i andre Google-produkter og -tjenester. Men det har også et ret simpelt beskyttelseslag for de medier, som brugerne gemmer og deler, opdagede en forsker. Det eneste, der står mellem offentlig eksponering af private delte fotos og videoer, er et tilsløret weblink. Ejere af medier, der ønsker at dele dem med en bestemt person, tilbydes et link, der kan deles. I det væsentlige er det Google Fotos, der opretter et link. I stedet for kun at tilbyde eller tillade begrænset adgang til de autoriserede konti, kan alle med adgang til weblinket let få adgang til og se indholdet.

Google Photo-brugere skal advares om et ret underligt smuthul, der i det væsentlige øger eksponeringen af ​​deres private indhold inklusive fotos og brugere, der er gemt på platformen. Private links oprettet til at dele medierne kan let bruges af alle til at se det samme. Med andre ord blev private delte links offentligt tilgængelige. Det er overflødigt at sige, at dette er et ret seriøst tilsyn og absurd, hvordan Google kan lade dette ske.

Hvordan bliver private delte medier på Google Fotos offentligt tilgængelige?

Forsker Robert Wiblin over 80.000 timer opdagede for nylig sikkerhedsforløbet, der i det væsentlige afslørede privat indhold, der er gemt på Google Fotos og gjorde det offentligt tilgængeligt. Han forsøgte og lykkedes at genskabe scenariet flere gange, og ved hver lejlighed er de private delte links offentligt tilgængelige fra enhver Google-konto. Overraskende nok behøver folk, der ønskede at se indholdet, inklusive fotos og videoer, ikke være logget ind på en Google-konto. I det væsentlige kunne enhver med adgang til det delte link til Google Fotos-medier, fungerende internet og en webbrowser ganske enkelt se indholdet ubegrænset. De har ikke brug for specifikke tilladelser for at få adgang til mediet eller endda en Google-konto for at gøre det. Alt, hvad der kræves, er adgang til weblinket.

Google er afhængig af tiltrækning som det eneste forsvar mod uautoriseret adgang til delte medier på Google Fotos?

Det er klart, at Google ikke implementerer flere beskyttelsesforanstaltninger og digitale døråbninger for at forhindre uautoriserede personer i at få adgang til delte billeder og fotos på Google Fotos. Søge-giganten er kun afhængig af tilsløring af weblinket til det delte indhold som den eneste beskyttelse, der står mellem indhold og autoriseret eller uautoriseret adgang.

Til Googles forsvar er det næsten umuligt for hackere eller personer med ondsindet hensigt at gætte det weblink, der giver adgang til de delte fotos og videoer. Men i fremtiden kan en lille fejl muliggøre, at hackere gør det ved at reverse-engineering algoritmen, der fungerer til at generere URL'en. Med enkle ord kan brutale kraftangreb, der bruger kraftfuld computerhardware til at gætte URL'en, muligvis aldrig give adgang til delte medier på Google Fotos.

At få adgang til det korrekte og komplette weblink er dog latterligt simpelt gennem nogle andre almindeligt anvendte teknikker. Tredjeparter, som ikke skulle være i stand til at se indholdet, kunne let sikre den URL, der giver dem adgang til Google Fotos. Nogle af de mest almindelige metoder til brug af URL'en inkluderer netværksovervågning, utilsigtet deling eller ukrypteret e-mail. Desuden kunne hackere anvende social engineering for at få folk til at utilsigtet eller ved et uheld dele linkene. At få adgang til URL'en er stort set det eneste nødvendige trin. Enhver med adgang til linket kan derefter blot placere linket i en hvilken som helst webbrowser og se de delte medier. Hvad der er endnu mere bekymrende er, at uautoriserede personer kan få adgang til indholdet, selvom de ikke er logget ind på en Google-konto.

Google angiver ikke åbent sådan dårlig beskyttelse på Google Fotos, men tilbyder en sikkerhedskontakt

Robert Wiblin insisterer på, at Google Fotos ikke afslører dette for kunden. Endnu mere bekymrende er, at der ikke er nogen endelig måde at bestemme eller fastslå mediestatistikken på. Med andre ord er der ingen ordentlig information, som Google-kunder kan forsøge at bestemme, hvor ofte og af hvem de delte fotos blev set.

Google er kendt for sin enkelhed og brugervenlighed. De produkter, den udvikler, er normalt blottet for den komplicerede indstillingsside. Brugere kan hurtigt navigere eller endda søge efter en bestemt indstilling. Oftere end ikke er de fleste af de relevante indstillinger for en bestemt handling eller kommando synlige, mens de udføres den samme. Det er dog ikke tilfældet for Google Fotos og især for deling af medier.

Google Fotos giver ingen klare og direkte oplysninger om, hvordan deling af medierne kan deaktiveres, så andre ikke længere har adgang til det. Brugere af tjenesten skal have adgang til delingsmenuen og svæve over det bestemte delte album. En menu, der dukker op, giver mulighed for at slette albummet. Der er dog en anden måde at begrænse uautoriseret adgang til delte medier på Google Fotos. I stedet for at slette hele albummet kan brugerne søge efter en mulighed for at stoppe delingen af ​​linket i albumindstillingerne.

Denne nyligt opdagede og stadig anvendelige metode til at få adgang til indhold uden udtrykkelig tilladelse er ret alvorlig. Google Fotos-grænsefladen er meget lig Google Drive. Desuden var de to iboende forbundet indtil for nylig. Dette får flere brugere til at antage, at Fotos har samme autorisation og begrænsninger som Drive. Det er dog klart ikke tilfældet. Desuden har den nylige delinking yderligere kompliceret forholdene.

Interessant nok er det måske ikke så svært for Google at matche delingsadfærd i Google Fotos til Google Drev. Google Drev behandler private delinger på samme måde som "Private" videoer på YouTube. Kun autoriserede seere har adgang til sådanne videoer. Google Fotos ser dog ud til at behandle medierne som 'ikke-noterede' videoer på YouTube. Hvis en person har et link til videoen, kan han let se den samme. Hvis Fotos begynder at tilføje godkendelses- og begrænsningsregler inden for URL'en eller på destinationssiden, kan medierne beskyttes mod uautoriseret adgang.

Facebook Twitter Google Plus Pinterest
Anbefalet
G Suite's nye genvejsinput giver brugerne mulighed for at forudbestille arbejde på deres ønskede konti
G Suite's nye genvejsinput giver brugerne mulighed for at forudbestille arbejde på deres ønskede konti
E-mail
Dead By Daylight's New Bloodweb Changes vil mindske kværnen for at frigøre frynsegoder
Dead By Daylight's New Bloodweb Changes vil mindske kværnen for at frigøre frynsegoder
Windows
Sådan fjerner du Cast til Device Option fra kontekstmenuen i Windows 10
Sådan fjerner du Cast til Device Option fra kontekstmenuen i Windows 10
Hvordan
Sådan konverteres MBR til GPT uden datatab
Sådan konverteres MBR til GPT uden datatab
Windows
Tilmeld