Ảnh và video được lưu trữ trên Google Ảnh được bảo vệ kém đằng sau một liên kết web đơn giản bị xáo trộn?

Google Photos cho đến nay là một trong những giải pháp lưu trữ dựa trên đám mây phổ biến nhất được tích hợp trong các sản phẩm và dịch vụ khác của Google. Tuy nhiên, nó cũng có một lớp bảo vệ khá đơn giản cho các phương tiện mà người dùng lưu trữ và chia sẻ, một nhà nghiên cứu phát hiện ra. Điều duy nhất đứng giữa việc hiển thị công khai ảnh và video được chia sẻ riêng tư là một liên kết web bị xáo trộn. Chủ sở hữu phương tiện, những người muốn chia sẻ chúng với một người cụ thể, được cung cấp một liên kết có thể được chia sẻ. Về cơ bản, Google Photos tạo ra một liên kết. Tuy nhiên, thay vì cung cấp hoặc chỉ cho phép truy cập hạn chế vào các tài khoản được ủy quyền, bất kỳ ai có quyền truy cập vào liên kết web đều có thể dễ dàng truy cập và xem nội dung.

Người dùng Google Photo phải được cảnh báo về một lỗ hổng khá kỳ lạ về cơ bản làm tăng khả năng hiển thị nội dung riêng tư của họ bao gồm ảnh và người dùng được lưu trữ trên nền tảng. Các liên kết riêng tư được tạo ra để chia sẻ phương tiện có thể được sử dụng dễ dàng bởi bất kỳ ai cũng có thể xem như nhau. Nói cách khác, các liên kết được chia sẻ riêng tư trở nên có thể truy cập công khai. Không cần phải nói, đây là một sự giám sát khá nghiêm trọng và thật vô lý khi Google có thể cho phép điều này xảy ra.

Phương tiện được chia sẻ riêng tư trên Google Photos trở nên có thể truy cập công khai như thế nào?

Nhà nghiên cứu Robert Wiblin hơn 80.000 giờ gần đây đã phát hiện ra lỗi bảo mật về cơ bản làm lộ nội dung riêng tư được lưu trữ trên Google Photos và làm cho nó có thể truy cập công khai. Anh ấy đã cố gắng và đã thành công khi tạo lại kịch bản nhiều lần và vào mỗi dịp, các liên kết được chia sẻ riêng tư có thể truy cập công khai từ bất kỳ tài khoản Google nào. Đáng ngạc nhiên là những người muốn xem nội dung, bao gồm cả ảnh và video, không cần đăng nhập vào tài khoản Google. Về bản chất, bất kỳ ai có quyền truy cập vào liên kết được chia sẻ tới phương tiện Google Photos, internet hoạt động và trình duyệt web, đều có thể xem nội dung một cách đơn giản. Họ sẽ không cần các quyền cụ thể để truy cập phương tiện, hoặc thậm chí tài khoản Google để làm như vậy. Tất cả những gì được yêu cầu là truy cập vào liên kết web.

Google dựa vào việc nghe lén là biện pháp bảo vệ duy nhất chống lại việc truy cập trái phép vào phương tiện được chia sẻ trên Google Photos?

Rõ ràng là Google không triển khai nhiều biện pháp bảo vệ và cửa kỹ thuật số để ngăn những người không được phép truy cập vào hình ảnh và ảnh được chia sẻ trên Google Photos. Gã khổng lồ tìm kiếm chỉ dựa vào sự xáo trộn của liên kết web tới nội dung được chia sẻ như một biện pháp bảo vệ duy nhất giữa nội dung và truy cập được phép hoặc trái phép.

Để bảo vệ Google, tin tặc hoặc những người có ý đồ xấu hầu như không thể đoán được liên kết web cấp quyền truy cập vào ảnh và video được chia sẻ. Tuy nhiên, trong tương lai, một lỗ hổng nhỏ có thể cho phép tin tặc làm như vậy bằng cách thiết kế ngược thuật toán hoạt động để tạo URL. Nói một cách dễ hiểu, các cuộc tấn công brute force, sử dụng phần cứng máy tính mạnh mẽ để đoán URL, có thể không bao giờ cấp được quyền truy cập vào phương tiện được chia sẻ trên Google Photos.

Tuy nhiên, việc truy cập vào liên kết web chính xác và đầy đủ lại vô cùng đơn giản thông qua một số kỹ thuật thường được triển khai khác. Bên thứ ba, những người không thể xem nội dung, có thể dễ dàng bảo mật URL cấp cho họ quyền truy cập trên Google Photos. Một số phương pháp chiếm đoạt URL phổ biến nhất bao gồm giám sát mạng, chia sẻ tình cờ hoặc email không được mã hóa. Hơn nữa, tin tặc có thể triển khai kỹ thuật xã hội để khiến mọi người vô tình hoặc vô tình chia sẻ các liên kết. Nhận quyền truy cập vào URL về cơ bản là bước duy nhất bắt buộc. Sau đó, bất kỳ ai có quyền truy cập vào liên kết có thể chỉ cần đặt liên kết vào bất kỳ trình duyệt web nào và xem phương tiện được chia sẻ. Điều đáng quan tâm hơn nữa là những người không được phép có thể truy cập nội dung ngay cả khi họ không đăng nhập vào Tài khoản Google.

Google không công khai khả năng bảo vệ kém như vậy trên Google Photos nhưng có cung cấp công tắc bảo mật

Robert Wiblin khẳng định rằng Google Photos không tiết lộ sự thật này cho khách hàng. Điều đáng quan tâm hơn nữa là không có cách nào xác định chính xác hoặc chắc chắn các số liệu thống kê của các phương tiện truyền thông. Nói cách khác, không có thông tin thích hợp nào mà khách hàng của Google có thể tìm kiếm để xác định tần suất và đối tượng được xem ảnh được chia sẻ.

Google được biết đến với sự đơn giản và dễ sử dụng. Các sản phẩm mà nó phát triển thường không có trang cài đặt phức tạp. Người dùng có thể nhanh chóng điều hướng hoặc thậm chí tìm kiếm một cài đặt cụ thể. Thường xuyên hơn không, hầu hết các cài đặt có liên quan đến một hành động hoặc lệnh cụ thể đều hiển thị trong khi thực hiện cùng một lệnh. Tuy nhiên, đó không phải là trường hợp của Google Photos và đặc biệt là khi chia sẻ phương tiện.

Google Photos không cung cấp thông tin rõ ràng và trực tiếp về cách có thể tắt tính năng chia sẻ phương tiện để những người khác có thể không truy cập vào nó nữa. Người dùng dịch vụ cần truy cập menu chia sẻ và di chuột qua album được chia sẻ cụ thể. Một menu bật lên cung cấp một tùy chọn để xóa album. Tuy nhiên, có một cách khác để hạn chế quyền truy cập trái phép vào phương tiện được chia sẻ trên Google Photos. Thay vì xóa toàn bộ album, người dùng có thể tìm kiếm tùy chọn dừng chia sẻ liên kết trong tùy chọn album.

Phương pháp truy cập nội dung mà không có sự cho phép rõ ràng được phát hiện gần đây và vẫn có thể sử dụng này là khá nghiêm trọng. Giao diện Google Photos khá giống với Google Drive. Hơn nữa, về bản chất, cả hai đã được liên kết với nhau cho đến rất gần đây. Điều này khiến một số người dùng cho rằng Ảnh có quyền và hạn chế giống như Drive. Tuy nhiên, đó rõ ràng không phải là trường hợp. Hơn nữa, vụ lừa đảo gần đây đã làm phức tạp thêm vấn đề.

Điều thú vị là Google có thể không khó để so sánh hành vi chia sẻ trong Google Photos với Google Drive. Google Drive xử lý các lượt chia sẻ riêng tư theo cách tương tự như các video “Riêng tư” trên YouTube. Chỉ những người xem được ủy quyền mới có thể truy cập những video như vậy. Tuy nhiên, Google Photos dường như coi phương tiện là video "Không công khai" trên YouTube. Nếu một người có liên kết đến video, anh ta có thể dễ dàng xem như vậy. Nếu Ảnh bắt đầu thêm quy tắc xác thực và hạn chế trong URL hoặc tại trang đích, thì phương tiện có thể được bảo vệ khỏi truy cập trái phép.

Facebook Twitter Google Plus Pinterest