Les photos et vidéos stockées sur Google Photos sont mal protégées derrière un simple lien Web obscurci?

Sécurité / Les photos et vidéos stockées sur Google Photos sont mal protégées derrière un simple lien Web obscurci? 4 minutes de lecture

Google Photos sur Android pour obtenir plus de nouvelles fonctionnalités: annoncé

Google Photos est de loin l'une des solutions de stockage dans le cloud les plus populaires, qui est également intégrée à d'autres produits et services Google. Cependant, il dispose également d'une couche de protection assez simpliste pour les médias que les utilisateurs stockent et partagent, a découvert un chercheur. La seule chose qui se trouve entre l'exposition publique des photos et des vidéos partagées en privé est un lien Web obscurci. Les propriétaires de médias qui souhaitent les partager avec une personne spécifique se voient proposer un lien qui peut être partagé. Essentiellement, c'est Google Photos qui crée un lien. Cependant, au lieu d'offrir ou d'autoriser un accès restreint uniquement aux comptes autorisés, toute personne ayant accès au lien Web peut facilement accéder et afficher le contenu.

Les utilisateurs de Google Photo doivent être avertis d'une faille plutôt étrange qui augmente essentiellement l'exposition de leur contenu privé, y compris les photos et les utilisateurs stockés sur la plate-forme. Les liens privés créés pour partager les médias peuvent être facilement utilisés par n'importe qui pour les afficher. En d'autres termes, les liens partagés en privé sont devenus accessibles au public. Inutile de dire que c'est un oubli assez sérieux et qu'il est absurde de voir comment Google peut permettre que cela se produise.

Comment les médias partagés en privé sur Google Photos deviennent-ils accessibles au public?

Chercheur Robert Wiblin plus à 80000 heures a récemment découvert le manque de sécurité qui exposait essentiellement le contenu privé stocké sur Google Photos et le rendait accessible au public. Il a tenté et réussi à recréer le scénario à plusieurs reprises, et à chaque fois, les liens partagés en privé sont accessibles au public depuis n'importe quel compte Google. Étonnamment, les personnes qui souhaitaient voir le contenu, y compris les photos et les vidéos, n'ont pas besoin d'être connectées à un compte Google. En substance, toute personne ayant accès au lien partagé vers les médias Google Photos, à Internet en état de marche et à un navigateur Web, pourrait simplement afficher le contenu sans restriction. Ils n'auraient pas besoin d'autorisations spécifiques pour accéder aux médias, ni même d'un compte Google pour le faire. Tout ce qui est requis est l'accès au lien Web.

Google s'appuie sur l'obfuscation comme la seule défense contre l'accès non autorisé aux médias partagés sur Google Photos?

Il est clair que Google ne déploie pas plusieurs protections et portes numériques pour empêcher des personnes non autorisées d'accéder aux images et photos partagées sur Google Photos. Le géant de la recherche s'appuie uniquement sur l'obscurcissement du lien Web vers le contenu partagé comme seule protection qui se situe entre le contenu et l'accès autorisé ou non autorisé.

Pour la défense de Google, il est pratiquement impossible pour les pirates informatiques ou les personnes malveillantes de deviner le lien Web qui donne accès aux photos et vidéos partagées. Cependant, à l'avenir, une petite faille pourrait permettre aux pirates de le faire en rétroconcevant l'algorithme qui fonctionne pour générer l'URL. En termes simples, les attaques par force brute, qui utilisent un matériel informatique puissant pour deviner l'URL, peuvent ne jamais être en mesure d'accorder l'accès aux médias partagés sur Google Photos.

Cependant, accéder au lien Web correct et complet est ridiculement simple grâce à d'autres techniques couramment déployées. Les tiers, qui ne devraient pas pouvoir voir le contenu, pourraient facilement sécuriser l'URL qui leur accorde l'accès sur Google Photos. Certaines des méthodes les plus courantes d'usurpation de l'URL incluent la surveillance du réseau, le partage accidentel ou le courrier électronique non chiffré. De plus, les pirates pourraient déployer l'ingénierie sociale pour amener les gens à partager par inadvertance ou accidentellement les liens. L'accès à l'URL est essentiellement la seule étape requise. Toute personne ayant accès au lien peut alors simplement placer le lien dans n'importe quel navigateur Web et afficher le média partagé. Ce qui est encore plus inquiétant, c'est que des personnes non autorisées peuvent accéder au contenu même si elles ne sont pas connectées à un compte Google.

Google n'indique pas ouvertement une telle protection médiocre sur Google Photos, mais propose un commutateur de sécurité

Robert Wiblin insiste sur le fait que Google Photos ne révèle pas ce fait au client. Plus inquiétant encore, il n’existe pas de moyen définitif de déterminer ou de vérifier les statistiques des médias. En d’autres termes, il n’existe aucune information appropriée que les clients de Google peuvent rechercher pour déterminer à quelle fréquence et par qui les photos partagées ont été vues.

Google est connu pour sa simplicité et sa facilité d'utilisation. Les produits qu'il développe sont généralement dépourvus de la page de paramètres compliqués. Les utilisateurs peuvent naviguer rapidement ou même rechercher un paramètre particulier. Le plus souvent, la plupart des paramètres pertinents pour une action ou une commande particulière sont visibles lors de son exécution. Cependant, ce n’est pas le cas pour Google Photos, et en particulier pour le partage de médias.

PDA - Les partages Google Photos sont publics par défaut (aucun moyen de restreindre) https://t.co/Toc01tUNw7
- Sergey Vershinin (@svershin) 16 juillet 2019
décalage de windows 10

Google Photos n'offre aucune information claire et directe sur la façon dont le partage des médias peut être désactivé afin que d'autres ne puissent plus y accéder. Les utilisateurs du service doivent accéder au menu de partage et survoler l'album partagé particulier. Un menu qui apparaît offre une option pour supprimer l'album. Il existe cependant un autre moyen de restreindre l'accès non autorisé aux médias partagés sur Google Photos. Au lieu de supprimer l'album entier, les utilisateurs peuvent rechercher une option pour arrêter de partager le lien dans les options de l'album.

Cette méthode récemment découverte et encore utilisable pour accéder au contenu sans autorisation explicite est assez sérieuse. L'interface de Google Photos est assez similaire à Google Drive. De plus, les deux étaient intrinsèquement liés jusqu'à très récemment. Cela oblige plusieurs utilisateurs à supposer que Photos a la même autorisation et les mêmes restrictions que Drive. Cependant, ce n’est manifestement pas le cas. De plus, la récente déconnexion a encore compliqué les choses.

Fait intéressant, il n'est peut-être pas si difficile pour Google de faire correspondre le comportement de partage de Google Photos à celui de Google Drive. Google Drive traite les partages privés de la même manière que les vidéos «privées» sur YouTube. Seuls les spectateurs autorisés peuvent accéder à ces vidéos. Cependant, Google Photos semble traiter les médias comme des vidéos 'non répertoriées' sur YouTube. Si une personne a un lien vers la vidéo, elle peut facilement la regarder. Si Photos commence à ajouter des règles d'authentification et de restriction dans l'URL ou sur la page de destination, le média peut être protégé contre tout accès non autorisé.

Mots clés Google Photos

Les photos et vidéos stockées sur Google Photos sont mal protégées derrière un simple lien Web obscurci?

Comment les médias partagés en privé sur Google Photos deviennent-ils accessibles au public?

Google s'appuie sur l'obfuscation comme la seule défense contre l'accès non autorisé aux médias partagés sur Google Photos?

Google n'indique pas ouvertement une telle protection médiocre sur Google Photos, mais propose un commutateur de sécurité

Catégories

Articles Populaires

Correction: ce plugin n'est pas pris en charge

Samsung achève le développement d'une nouvelle batterie au graphène, qui pourrait alimenter les téléphones phares en 2019

Correction: le pseudo-terminal ne sera pas alloué car stdin n'est pas un terminal

Correction: Erreur -24 sur le Play Store

Correction: votre client n'a pas l'autorisation d'obtenir l'URL

Correction: le Chromebook ne se charge pas au-delà de 1%

Comment insérer un PDF dans Microsoft PowerPoint?

«Frostpunk» célèbre son premier anniversaire, 1,4 million d’exemplaires vendus depuis son lancement

Correction: le service Hamachi s'est arrêté sur Windows 10

CORRECTIF: étapes pour réparer la carte SD «Windows n'a pas pu formater»

Comment réparer le crash de World of Tanks?

Les processeurs Intel Ice Lake-SP Xeon de qualité serveur bénéficient de multiples fonctionnalités de sécurité et de protection des données qui pourraient se répercuter sur les consommateurs

Inversion des couleurs sur Windows 10 à l'aide de filtres de couleur et de l'application d'agrandissement

Comment réparer l'erreur «Une connexion existante a été fermée de force par l'hôte distant»?

Comment déverrouiller le chargeur de démarrage sur Asus Zenfone 2 Laser (ZE551KL)

Qu'est-ce que cpx.exe et comment le supprimer?

Correction de l'erreur 'Serveurs inaccessibles' dans For Honor

Intel résoudra les problèmes d'approvisionnement d'ici 2019 Selon le nouveau président, souhaite que la société assume davantage de rôles de conseil

Comment supprimer / modifier / masquer une épingle sur Pinterest?

La nouvelle mise à jour 2.0 du système HTC Vive Focus vous permet de prendre des appels et des messages dans le monde virtuel

Comment trouver le Léviathan à Valheim - Guide des gouttes et de l'emplacement

Correction: Code d'erreur d'activation Windows 0xC004C008

5 meilleures routines Google Home

Samsung travaille peut-être sur un Galaxy J6 + avec Snapdragon 450

Articles Populaires

Recommandé