Google Photos Androidis uute funktsioonide saamiseks: kuulutatud
Google Photos on ülekaalukalt üks populaarsemaid pilvepõhiseid salvestuslahendusi, mis on integreeritud ka teistesse Google'i toodetesse ja teenustesse. Kuid sellel on ka meediumide jaoks üsna lihtsustatud kaitsekiht, mida kasutajad salvestavad ja jagavad, avastas teadlane. Ainus asi, mis eraviisiliselt jagatud fotode ja videote avalikkuse ette toomise vahel seisab, on hägune veebilink. Meediaomanikele, kes soovivad neid konkreetse inimesega jagada, pakutakse linki, mida saab jagada. Sisuliselt loob lingi just Google Photos. Selle asemel, et pakkuda või lubada piiratud juurdepääsu ainult volitatud kontodele, saavad kõik, kellel on juurdepääs veebilingile, hõlpsasti sisule juurde pääseda ja seda vaadata.
Google Photo'i kasutajaid tuleb hoiatada üsna kummalise lünga eest, mis suurendab oluliselt nende privaatse sisu, sealhulgas platvormile salvestatud fotode ja kasutajate nähtavust. Meedia jagamiseks loodud privaatseid linke saab igaüks hõlpsalt sama vaatamiseks kasutada. Teisisõnu, privaatselt jagatud lingid muutusid avalikult kättesaadavaks. Ütlematagi selge, et see on üsna tõsine möödarääkimine ja absurdne, kuidas Google lubab sellel juhtuda.
Kuidas saab teenuse Google Photos eraviisiliselt jagatud meedia avalikult ligipääsetavaks?
Teadlane Robert Wiblin üle kell 80 000 tundi hiljuti avastas turvapiirangu, mis paljastas peamiselt teenusesse Google Photos salvestatud privaatse sisu ja tegi selle avalikult kättesaadavaks. Ta üritas stsenaariumi mitu korda taastada ja õnnestus ning igal juhul on privaatselt jagatud linkidel avalikult juurdepääs mis tahes Google'i kontolt. Üllatuslikult ei pea inimesi, kes soovisid sisu, sealhulgas fotosid ja videoid, vaadata Google'i kontole sisse logima. Sisuliselt võiks igaüks, kellel on juurdepääs jagatud lingile Google Photos meediumile, töötavale internetile ja veebibrauserile, lihtsalt sisu piiramatult vaadata. Selleks ei vaja nad meediumile juurdepääsemiseks konkreetseid õigusi ega isegi Google'i kontot. Vaja on ainult juurdepääsu veebilingile.
Google loodab, et teenuse Google Photos ainus kaitse loata juurdepääsu eest jagatud meediumile on ähmastamine?
On selge, et Google ei kasuta mitut turvameedet ja digitaalset ukseava, et takistada volitamata inimeste juurdepääsu teenuses Google Photos jagatud piltidele ja fotodele. Otsingu hiiglane tugineb ainult jagatud sisuga veebilingi varjamisele, kuna see on ainus kaitse, mis seisneb sisu ja volitatud või volitamata juurdepääsu vahel.
Google'i kaitseks on häkkeritel või pahatahtliku kavatsusega inimestel praktiliselt võimatu ära arvata veebilinki, mis annab juurdepääsu jagatud fotodele ja videotele. Kuid tulevikus võib väike viga lubada häkkeritel seda teha, muutes URL-i genereerimiseks sobiva algoritmi ümber. Lihtsamalt öeldes ei pruugi toore jõu rünnakud, mis URL-i äraarvamiseks kasutavad võimsat arvutusriistvara, iialgi võimaldada juurdepääsu teenuse Google Photos jagatud meediumile.
Õige ja täieliku veebilingi juurde pääsemine on aga mõnede teiste tavaliselt kasutatavate tehnikate abil naeruväärselt lihtne. Kolmandad osapooled, kes ei peaks sisu nägema, saaksid hõlpsasti turvata URL-i, mis annab neile juurdepääsu teenusele Google Photos. Mõned kõige tavalisemad URL-i anastamise meetodid hõlmavad võrgu jälgimist, juhuslikku jagamist või krüptimata e-posti. Pealegi võiksid häkkerid rakendada sotsiaalset inseneri, et panna inimesi tahtmatult või kogemata linke jagama. Sisuliselt ainus vajalik samm on juurdepääs URL-ile. Igaüks, kellel on lingile juurdepääs, saab seejärel lihtsalt linki lisada mis tahes veebibrauserisse ja vaadata jagatud meediumit. Veelgi murettekitavam on see, et volitamata inimesed pääsevad sisule juurde ka siis, kui nad pole Google'i kontole sisse logitud.
Google ei avalda Google Photos'il avalikult nii kehva kaitset, kuid pakub turbelülitit
Robert Wiblin rõhutab, et Google Photos ei avalda seda fakti kliendile. Veelgi murettekitavam on see, et meedia statistika kindlaksmääramiseks või kindlakstegemiseks puudub lõplik viis. Teisisõnu, puudub õige teave, mida Google'i kliendid võiksid otsida, kui sageli ja kes jagatud fotosid vaatasid.
Google on tuntud oma lihtsuse ja kasutusmugavuse poolest. Selle väljatöötatud toodetel puudub tavaliselt keeruline seadete leht. Kasutajad saavad kiiresti navigeerida või isegi konkreetset seadet otsida. Sagedamini on enamus konkreetse toimingu või käsu asjakohaseid seadeid sama täitmise ajal nähtavad. See ei kehti siiski Google Photos'i ja eriti meedia jagamise kohta.
PDA - Google Photos'i aktsiad on vaikimisi avalikud (pole võimalust piirata) https://t.co/Toc01tUNw7
- Sergey Vershinin (@svershin) 16. juuli 2019
Google Photos ei paku selget ja otsest teavet selle kohta, kuidas saab meedia jagamise keelata, nii et teised ei pruugi sellele enam juurde pääseda. Teenuse kasutajad peavad pääsema juurde jagamismenüüle ja hõljutama kursorit konkreetse jagatud albumi kohal. Avanev menüü pakub albumi kustutamise võimalust. Google Photosis on aga veel üks viis, kuidas piirata volitamata juurdepääsu jagatud meediumitele. Kogu albumi kustutamise asemel saavad kasutajad albumi suvandites otsida linki jagamise lõpetamise võimalust.
See hiljuti avastatud ja endiselt kasutatav meetod sisu juurde pääsemiseks ilma selge loata on üsna tõsine. Google Photos liides on üsna sarnane Google Drive'iga. Pealegi olid need kaks kuni viimase ajani oma olemuslikult seotud. See paneb mitut kasutajat eeldama, et Photosil on Drive'iga samad volitused ja piirangud. Kuid see pole ilmselgelt nii. Pealegi on hiljutine kustutamine asju veelgi keerulisemaks muutnud.
Huvitav on see, et Google'il ei pruugi olla nii keeruline sobitada teenuse Google Photos jagamiskäitumist Google Drive'i käitumisega. Google Drive kohtleb privaatseid jagamisi sarnaselt YouTube'i privaatsete videotega. Sellistele videotele pääsevad juurde ainult volitatud vaatajad. Näib, et Google Photos käsitleb meediat YouTube'is loeteluta videotena. Kui inimesel on video link, saab ta seda lihtsalt vaadata. Kui Photos hakkab URL-is või sihtlehel lisama autentimis- ja piirangureegleid, võib meediat volitamata juurdepääsu eest kaitsta.
Sildid Google Photos
