Investigadores han descubierto dos vulnerabilidades no relacionadas en dos productos de Google. La firma Imperva encontró una forma de realizar un ataque de canal lateral en Google Photos que le permite a los malos actores recopilar la ubicación, tiempo e identificar información de cuentas personales. La otra vulnerabilidad fue identificada por Positive Technologies, que es un error más peligroso en Android. También expone los datos de usuarios, y Google lo ha clasificado su grado de severidad como “alto”.
Como los productos de Google son tan populares, las vulnerabilidades tienen el potencial de impactar a miles de millones de usuarios. Google Photos tiene más de 500 millones de usuarios, según datos de mayo 2017. Por otro lado Android tiene 2 mil millones de dispositivos, sin embargo el número de afectados podría ser menor ya que la vulnerabilidad en cuestión fue introducida en Android 4.4 KitKat.
La vulnerabilidad encontrada en la versión web de Google Photos podría exponer la ubicación de los usuarios a través del tiempo, así como a la persona con la que estaban cuando se tomaron las fotos. En un posteo en el blog de Imperva, Ron Masas detalló el problema y cómo encontrarlo.
Google Photos usa la metadata de tus imágenes, junto con el aprendizaje automático de Google para generar un montón de información. Por ejemplo, podría reconocer el rostro de tu hijo en una foto y automáticamente etiquetarlo en cada foto en la que aparezca, incluso conforme vaya creciendo y cambiando a lo largo de los años. También puede ubicar geográficamente las fotos tomadas con tu teléfono. Incluso si subes más imágenes tomadas con una DSLR que no tiene etiquetado por geolocalización, el software puede adivinar dónde fueron tomadas basadas en contexto.
Buena parte de esa información puede buscarse en una cuenta de Google Photos, y se encontró una forma de usar un canal lateral para explotar esta vulnerabilidad. “Después de algunas pruebas y errores, descubrí que el punto final de búsqueda de Google Photos es vulnerable a un ataque de tiempo basado en el navegador,” afirmó Masas, y señaló que usó una etiqueta de enlace HTML para crear múltiples solicitudes de origen cruzado al punto final de búsqueda de Google Photos. Luego midió la cantidad de tiempo que tomó el evento onload para cargarse.
Por otro lado, Positive Technologies dijo que la vulnerabilidad afecta a dispositivos con Android 4.4 y posterior, y el componente WebView es el responsable. WebView es fundamental para las aplicaciones instantáneas de Android. Básicamente permite probar una app en el teléfono sin tener que descargar todo.
Como WebView es parte del motor de Chromium, los navegadores basados en el browser son vulnerables. Google Chrome es más popular, pero el navegador de Samsung y Yandex también son afectados.
Las afectaciones que podrían ocurrir es que los atacantes tuvieran acceso al historial de búsquedas del navegador, tokens de autenticación y más.
La vulnerabilidad en Google Photos ya ha sido parchada, con una actualización en el navegador, en teoría, debería eliminarse cualquier amenaza del WebView para aquellos que usen Android 7.0 o superior, debido a que el bug fue parchado en Chrome 72 (que fue lanzado en enero). Los usuarios que tengan versiones anteriores de Android tendrán que actualizar la WebView vía Google Play.
Con información de Venture Beat.