Home أخبار جوجل ثغرة فى صور جوجل تسمح للمهاجمين لتتبع الموقع ووقت صورك
3:51 AM
A+ A-

ثغرة فى صور جوجل تسمح للمهاجمين لتتبع الموقع ووقت صورك

ثغرة فى صور جوجل تسمح للمهاجمين لتتبع الموقع ووقت صورك

تستخدم مواقع الويب مشكلة عدم حصانة إصدار الويب الخاص بـ صور جوجل للتعرف على مواقع المستخدمين.

تُستخدم نقطة نهاية البحث عن الصور في جوجل للعثور على الصور المخزنة باستخدام البيانات التعريفية المجمّعة ، مثل الموقع الجغرافي والتاريخ ، تتأثر بالعيوب. أيضا ، يتم استخدام خوارزمية الذكاء الاصطناعي لتحديد الأشخاص الذين تم وضع علامة بالفعل عليهم.


 ميزة البحث هذه هي أنه يمكن استخدام الاستعلامات البشرية للعثور على الصورة ، مثل كتابة الاسم والموقع و / أو التاريخ.

قال الباحث الأمني  ، إن سياسة الأصل نفسه (SOP) ، والتي تستخدم عادة في المتصفح ، تساعد المهاجم على معرفة موقع المستخدم. SOP عبارة عن آلية أمان خاصة بتطبيقات الويب ، لا تسمح بتفاعل الموارد المحملة من أصول أخرى ، ولا يمكنها قراءة بدلاً من ذلك ، لا يمكن الكتابة إلا عبر المصادر.

قال الباحث الأمني : "بعد بعض التجارب والخطأ ، وجدت أن نقطة نهاية بحث صور جوجل عرضة لهجوم توقيت يستند إلى المستعرض [أصبح الآن مصحوبًا] يسمى البحث عبر المواقع (XS-Search)."


وفقًا لبحث أمنى عملة أحد الباحثين  ، تم إنشاء طلبات مشتركة في نقطة نهاية بحث صور جوجل من خلال إنشاء علامات ارتباط HTML. بعد ذلك ، تم استخدام جافا سكريبت لمعرفة مقدار الوقت الذي يستغرقه حدث فى التحميل .

Photo: SIPA USA/PA Images

كما أشار إلى فارق التوقيت بين البحث عن صور غير موجودة والصور الموجودة فعليًا على حساب المستخدم. يتم تحديد زيارة إلى أي بلد ، باستخدام علامة الموقع ، حسب المكان الذي تم تحميل الصور منه. يتم تقدير وقت الإقامة أيضًا بواسطة الموقع الضار باستخدام التاريخ في الاستعلام. لمزيد من العلامات المستخدمة ، يمكن استنتاج مزيد من المعلومات.

لن يتم تنفيذ هذا الهجوم إلا إذا تم إغراء المستخدمين إلى موقع ويب ضار أثناء تسجيلهم الدخول إلى حساب جوجل الخاص بهم ، حيث أن تسجيل الدخول من جوجل يمكنه الوصول إلى جميع خدمات جوجل .


بعد ذلك ، سيتم إرسال طلب إلى نقطة نهاية بحث صور جوجل باستخدام رمز جافا سكريبت ، والذي من شأنه أن يجيب على أي استفسار يقدمه القراصنة. يمكنهم أيضًا استئناف نشاطهم في استخراج المعلومات من المكان الذي غادروا فيه. يتمتع المهاجمون بحرية عدم إخراج جميع البيانات مرة واحدة فقط.

أوضح الباحث الأمنى أيضًا من خلال مقطع فيديو كيف يتم استخدام وقت البحث بواسطة مواقع الويب الخاصة بالجهات الخارجية لمعرفة الموقع الذي تم فيه التقاط الصور.
,