Google Fotos: Sicherheitslücke ermöglichte Angreifern das Auslesen von Standortdaten

 

Googles Produkte sind normalerweise uneinnehmbare Festungen, hinter denen die Daten der Nutzer sicher sind und bisher noch niemals im großen Stil abgegriffen werden konnten. Das wird hoffentlich auch in Zukunft so bleiben, aber derzeit macht ein Bug bzw. Sicherheitslücke (wie man’s nimmt) die Runde, mit dem auf Standortdaten des Nutzers via Google Photos zugegriffen werden konnte. Für die mittlerweile gestopfte Lücke kam die starke Suchfunktion zum Einsatz.

Sowohl die Fotos als auch die Standortdaten der Nutzer sind sehr wertvolle Daten, die durch viele Sicherheitsmechanismen geschützt werden und bisher auch nicht von Angreifern abgegriffen werden konnten. Das ist auch weiterhin der Fall, aber Spezialisten einer Sicherheitsfirma ist es nun gelungen, durch Kombination aus beidem eine ungefähre Ahnung zu bekommen, wo sich der Nutzer aufhält bzw. an welchen Orten er bereit gewesen ist.

Voraussetzung für die Lücke war es lediglich, dass der Nutzer bei Google Photos eingeloggt war. Über einen externen Zugriff einer manipulierten Webseite wurden dann Such-URLs von Google Photos aufgerufen und die Ladezeit gemessen. Als Erstes wird eine Dummy-Anfrage mit 0 Ergebnissen abgerufen und die exakte Antwortzeit gemessen. Diese wird dann mit weiteren Anfragen verglichen, deren Antwortzeit sich je nach Umfang der Suchergebnisse ändert.

Benötigt die Suchanfrage „Island“ also länger als die Dummy-Anfrage, gibt es Ergebnisse und der Nutzer war höchstwahrscheinlich schon einmal in Island. Das lässt sich mit jedem beliebigen Land fortführen. Um es noch genauer einzuschränken, kann man Zeitangaben in die Suchanfrage einbauen und so recht exakt herausfinden, wann der Nutzer in Island oder einem beliebigen anderen Land gewesen ist.

In my proof of concept, I used the HTML link tag to create multiple cross-origin requests to the Google Photos search endpoint. Using JavaScript, I then measured the amount of time it took for the onload event to trigger. I used this information to calculate the baseline time — in this case, timing a search query that I know will return zero results.

Next, I timed the following query “photos of me from Iceland” and compared the result to the baseline. If the search time took longer than the baseline, I could assume the query returned results and thus infer that the current user visited Iceland… by adding a date to the search query, I could check if the photo was taken in a specific time range. By repeating this process with different time ranges, I could quickly approximate the time of the visit to a specific place or country.

Natürlich ist diese Lücke sehr stark theoretischer Natur. Um echte verwertbare Informationen zu erhalten, müsste man Dutzende oder Hunderte Länder abrufen und diese anschließend noch nach genaueren Regionen und Datum eingrenzen. Das erfordert sehr viel Zeit, unzählige Anfragen und damit verbunden auch vom Google-Server aus Sicherheitsgründen ausgelieferte Captchas. In der Praxis lassen sich also nur sehr gezielte Informationen sammeln.

Durch diesen Aufwand dürfte diese Lücke eher nicht ausgenutzt worden sein, Details dazu sind aber nicht bekannt. Google hat die Lücke bereits vor Bekanntwerden gestopft und Google Photos weiter abgesichert. Rein theoretisch könnte man einen Nutzer sehr viel leichter Tracken, wenn er ein aktiver Local Guide ist und häufig Orte besucht, bewertet oder Daten hochlädt, die dann im öffentlichen Profil für jeden Nutzer sichtbar sind.

Details zu der Lücke und wie sie von den Sicherheitsexperten ausgenutzt wurde, findet ihr im verlinkten Artikel.

P.S. Das ist nun die zweite Lücke bei Google Photos innerhalb kürzester Zeit, die erste trat im Zusammenspiel mit Android TV auf. Nach Google-Logik müsste die Plattform jetzt eigentlich eingestellt werden ?

» Ausführliche Beschreibung bei Imperva

Siehe auch
» Google Fotos: Neues Express Backup für Fotos und Videos & tägliches Backup-Limit wird ausgerollt

---

---