Mellékleteink: HUP | Gamekapocs
Keres
Felhőből visszaköltözéstől egészen egy banki malware evolúciójáig. Üzemeltetői és IT-biztonsági meetupokkal érkezünk!

Nyilvános URL-t kapnak a Google Photos képei

Gálffy Csaba, 2015. június 24. 11:38
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

A Google Photos képtárhelyre feltöltött összes fotó elérhető direkt linken - derült ki a szolgáltatás indulását követően. A Google szándékos fejlesztéséről van szó, amely biztonsági rést nem jelent, de érdemes óvatosan kezelni az URL-eket.

hirdetés

Éles szemű Reddit-felhasználók fedezték fel, hogy a Google Photos szolgáltatásába feltöltött képek direkt linken érhetőek el – akkor is, ha a felhasználó azokat senkivel nem osztotta meg. Az ilyen direkt URL-en ráadásul a képek minden biztonsági védelem nélkül vannak kinn, elérésükhöz még bejelentkezni sem szükséges. A linket roppant könnyű kinyerni, egy képet megnyitva (de nem zoomolva) jobbklikkel elérhető az "open image in new tab" opció, amely kidobja a tetszés szerint továbbosztható URL-t - például ezt.

Nem bug

A Google egyik mérnöke, Aravind Krishnaswamy a The Verge kérdésére elmondta, hogy a direkt linket a vállalat alaposan átgondolta, az implementáció pedig nem jelent biztonsági kockázatot. Az egyes képekhez ugyanis a rendszer hosszú egyedi azonosítót generál, amelynek összesített entrópiája 10^70, ami mintegy 233 bitnek felel meg. A Google szerint ez már elegendően erős ahhoz, hogy az egyedi azonosítót gyakorlatilag jelszóként lehet kezelni, egyszerű brute force támadással nem törhető fel. Erre egyébként a Google más védelmet is kitalált, az automatizált eszközök hozzáférését néhány próbálkozás után felfüggeszti. A cég álláspontja szerint nagyságrendekkel egyszerűbb feltörni a felhasználó fiókjához tartozó jelszót, mint akár egyetlen képet is letölteni a rendszerből.

A The Verge-nek nyilatkozó mérnök azt is elmondta, hogy a képek nem kapnak automatikusan ilyen nyilvános címet, csupán azokhoz készül ilyen, ahol a felhasználó a képet külön megnyitja. Ezzel a rendszer minimalizálja a teljes címtér kihasználtságát, vagyis hiába tárol hamarosan több milliárd fotót a Photos, ezeknek csak töredéke kap saját címet.

Az URL egyébként a googleusercontent.com-ra mutat, mert a cég egy ideje elmozgatta a Google.com-ról a felhasználói tartalmakat, így a böngészők illetve a felhasználók is egyértelműen meg tudják állapítani, hogy ez nem a Google saját tartalma. A linkek a weben SSL-titkosítással utaznak, tehát potenciális támadók közbeékelődő támadással, a hálózati forgalom megfigyelésével sem tudják kinyerni a linkeket.

...hanem feature

A direkt URL-es elérés előnye, hogy a felhasználónak elegendő ezt a linket átdobnia, ha meg akarja osztani a képet, a fogadó fél minden további teendő nélkül azonnal meg tudja azt nyitni. Az külön előny, hogy ehhez még Google-fiókra sincs szükség, az egyedi URL csak a képet hozza be, minden körítés nélkül. A fotó formátuma sima JPEG, nem a Google saját webp formátuma, így tetszőleges alkalmazásokkal megnyitható, szerkeszthető, továbbosztható. A direkt link egyébként nem a maximális felbontású tárolt fotóra mutat, hanem annak egy újraméretezett verziójára, tapasztalataink szerint a rendszer a kép hosszú oldalát méretezi 800 pixelre.

A direkt URL előnyei a használat során fokozatosan nyílnak ki. Az URL-t beszúrva a levelezőkliensbe, az automatikusan be tudja húzni a képet, ugyanez igaz például a Telegram kliensre is. Az ilyen szoftverek fejlesztőinek nem kell egyedi API-t beépíteni, jogosultságkezeléssel bajlódni, tokeneket cserélni, az URL birtokában a hozzáférés teljes, ráadásul biztonságos, hiszen ahhoz csupán a küldő és a címzett fér hozzá (legalábbis amíg a kommunikációs csatorna biztonságos).

Egyszer online, mindig online?

A Google megoldása azért nem problémamentes. A jelszavakkal ellentétben az URL-t a felhasználó nem cserélheti le, így ha illetéktelenek kezébe kerül, akkor semmilyen lehetősége nincs a felhasználónak a jogosultság megvonásához. Persze a Google védekezése is elfogadható, hogy ha a potenciális támadó egyszer hozzáfért a fotóhoz, akkor joggal feltételezhetjük, hogy a fotót le is mentette - ettől a ponttól pedig a jelszócsere vagy a jogosultság megvonása teljességgel haszontalan lenne.

Szerencsére a törölt fotókat a Google viszonylag gyorsan törli a saját rendszeréből, a Photos-ból törölve (és a kukát ürítve) mintegy fél óra után a direkt link is működésképtelenné válik, csupán egy standard "behajtani tilos" ábra jelzi, hogy volt valami ezen a linken. A Facebook például híresen lassan törli ténylegesen a "törölt" fotókat, volt olyan kép, ami három év után is elérhető maradt a direkt linken - jó látni, hogy a Google rendszere ennél alacsonyabb késleltetéssel dolgozik.

A Google-ön csupán annyit kérhetünk számon, hogy a felhasználókat nem világosítja fel a direkt URL-ek előnyeiről és hátrányairól, hogy hogyan érdemes (és hogyan nem érdemes) ezeket a linkeket megosztani. Ugyanis míg a Facebook esetében hiába kerül ki egy ilyen link, ahhoz csak a jogosultak férhetnek hozzá, a Google esetében ez a korlátozás nem létezik - erre érdemes lenne a figyelmet felhívni.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
4-4 klassz téma a HWSW júniusi üzemeltetői és IT-biztonsági meetupjain. Nézz meg a programot!