더 많은 새로운 기능을 얻을 수있는 Android 용 Google 포토 : 발표
Google 포토는 다른 Google 제품 및 서비스에도 통합 된 가장 인기있는 클라우드 기반 스토리지 솔루션 중 하나입니다. 그러나 그것은 또한 사용자가 저장하고 공유하는 미디어에 대해 다소 단순한 보호 계층을 가지고 있다고 연구원을 발견했습니다. 비공개로 공유 된 사진과 비디오의 공개 노출 사이에 서있는 유일한 것은 난독 화 된 웹 링크입니다. 특정 사람과 공유하려는 미디어 소유자에게는 공유 할 수있는 링크가 제공됩니다. 기본적으로 링크를 만드는 것은 Google 포토입니다. 그러나 승인 된 계정에 대해서만 제한된 액세스를 제공하거나 허용하는 대신 웹 링크에 대한 액세스 권한이있는 사람은 누구나 쉽게 콘텐츠에 액세스하고 볼 수 있습니다.
Google 포토 사용자는 플랫폼에 저장된 사진 및 사용자를 포함한 개인 콘텐츠의 노출을 본질적으로 증가시키는 다소 이상한 허점에 대해 경고해야합니다. 미디어를 공유하기 위해 생성 된 비공개 링크는 누구나 쉽게 볼 수 있습니다. 즉, 비공개로 공유 된 링크가 공개적으로 액세스 할 수있게되었습니다. 말할 필요도없이 이것은 다소 심각한 감독이며 Google이이를 허용하는 방법은 터무니 없습니다.
Google 포토의 비공개 공유 미디어는 어떻게 공개적으로 액세스 할 수 있습니까?
연구원 로버트 위 블린 에 80,000 시간 최근에 Google 포토에 저장된 비공개 콘텐츠를 본질적으로 노출하고 공개적으로 액세스 할 수있는 보안상의 결함을 발견했습니다. 그는 시나리오를 여러 번 재현하려고 시도하고 성공했으며 매번 비공개 공유 링크는 모든 Google 계정에서 공개적으로 액세스 할 수 있습니다. 놀랍게도 사진과 동영상을 포함한 콘텐츠를보고 싶은 사람들은 Google 계정에 로그인 할 필요가 없습니다. 본질적으로 Google 포토 미디어, 작동중인 인터넷 및 웹 브라우저에 대한 공유 링크에 대한 액세스 권한이있는 사람은 누구나 콘텐츠를 제한없이 볼 수 있습니다. 미디어에 액세스하기 위해 특정 권한이 필요하지 않으며이를 위해 Google 계정도 필요하지 않습니다. 필요한 것은 웹 링크에 대한 액세스뿐입니다.
Google은 Google 포토의 공유 미디어에 대한 무단 액세스에 대한 유일한 방어 수단으로 난독 화에 의존합니까?
Google은 승인되지 않은 사용자가 Google 포토에서 공유 된 이미지와 사진에 액세스하지 못하도록 여러 보호 장치와 디지털 출입구를 배포하지 않습니다. 이 검색 거대 기업은 콘텐츠와 승인 또는 무단 액세스 사이에 존재하는 유일한 보호 수단으로 공유 콘텐츠에 대한 웹 링크의 난독 화에만 의존합니다.
Google의 방어에서는 해커 나 악의적 인 의도를 가진 사람들이 공유 된 사진과 동영상에 대한 액세스 권한을 부여하는 웹 링크를 추측하는 것이 사실상 불가능합니다. 그러나 미래에는 작은 결함으로 인해 해커가 URL을 생성하는 알고리즘을 리버스 엔지니어링하여 그렇게 할 수 있습니다. 간단히 말해 강력한 컴퓨팅 하드웨어를 사용하여 URL을 추측하는 무차별 대입 공격은 Google 포토의 공유 미디어에 대한 액세스 권한을 부여하지 못할 수 있습니다.
그러나 일반적으로 배포되는 다른 기술을 통해 정확하고 완전한 웹 링크에 액세스하는 것은 엄청나게 간단합니다. 콘텐츠를 볼 수 없어야하는 제 3자는 Google 포토에서 액세스 권한을 부여하는 URL을 쉽게 보호 할 수 있습니다. URL을 탈취하는 가장 일반적인 방법에는 네트워크 모니터링, 실수로 공유 또는 암호화되지 않은 이메일이 포함됩니다. 또한 해커는 소셜 엔지니어링을 배포하여 사람들이 실수로 또는 실수로 링크를 공유하도록 할 수 있습니다. URL에 대한 액세스 권한을 얻는 것은 본질적으로 필요한 유일한 단계입니다. 링크에 대한 액세스 권한이있는 사람은 누구나 웹 브라우저에 링크를 삽입하고 공유 미디어를 볼 수 있습니다. 더욱 우려되는 점은 권한이없는 사용자가 Google 계정에 로그인하지 않아도 콘텐츠에 액세스 할 수 있다는 것입니다.
Google은 Google 포토에서 이러한 열악한 보호 기능을 공개적으로 밝히지는 않지만 보안 스위치를 제공합니다.
Robert Wiblin은 Google 포토가이 사실을 고객에게 공개하지 않는다고 주장합니다. 더욱 우려되는 것은 미디어의 통계를 결정하거나 확인할 수있는 확실한 방법이 없다는 것입니다. 즉, Google 고객이 공유 된 사진을 얼마나 자주, 누구에 의해 조회했는지 확인하려는 적절한 정보가 없습니다.
Google은 단순성과 사용 용이성으로 유명합니다. 개발하는 제품에는 일반적으로 복잡한 설정 페이지가 없습니다. 사용자는 특정 설정을 빠르게 탐색하거나 검색 할 수도 있습니다. 대부분의 경우 특정 작업이나 명령에 대한 대부분의 관련 설정이 동일한 작업을 실행하는 동안 표시됩니다. 그러나 Google 포토, 특히 미디어 공유의 경우는 그렇지 않습니다.
PDA – Google 포토 공유는 기본적으로 공개됩니다 (제한 방법 없음). https://t.co/Toc01tUNw7
-Sergey Vershinin (@svershin) 2019 년 7 월 16 일
Google 포토는 다른 사람이 더 이상 액세스 할 수 없도록 미디어 공유를 비활성화하는 방법에 대한 명확하고 직접적인 정보를 제공하지 않습니다. 서비스 사용자는 공유 메뉴에 액세스하고 특정 공유 앨범 위로 마우스를 가져 가야합니다. 팝업 메뉴는 앨범을 삭제하는 옵션을 제공합니다. 그러나 Google 포토의 공유 미디어에 대한 무단 액세스를 제한하는 또 다른 방법이 있습니다. 전체 앨범을 삭제하는 대신 사용자는 앨범 옵션에서 링크 공유를 중지하는 옵션을 검색 할 수 있습니다.
최근에 발견되었고 여전히 사용 가능한이 방법은 명시적인 허가없이 콘텐츠에 액세스하는 것은 매우 심각합니다. Google 포토 인터페이스는 Google 드라이브와 매우 유사합니다. 게다가이 둘은 아주 최근까지 본질적으로 연결되어있었습니다. 이로 인해 여러 사용자가 포토에 드라이브와 동일한 승인 및 제한이 있다고 가정합니다. 그러나 분명히 그렇지 않습니다. 더욱이 최근의 연결 해제로 인해 문제가 더욱 복잡해졌습니다.
흥미롭게도 Google이 Google 포토의 공유 동작을 Google 드라이브의 동작과 일치시키는 것이 그렇게 어렵지 않을 수 있습니다. Google 드라이브는 YouTube의 '비공개'동영상과 유사한 방식으로 비공개 공유를 처리합니다. 승인 된 시청자 만 이러한 동영상에 액세스 할 수 있습니다. 그러나 Google 포토는 미디어를 YouTube에서 '미등록'동영상으로 취급하는 것으로 보입니다. 동영상에 대한 링크가있는 사람은 쉽게 볼 수 있습니다. 사진이 URL 또는 랜딩 페이지에서 인증 및 제한 규칙을 추가하기 시작하면 미디어가 무단 액세스로부터 보호 될 수 있습니다.
태그 Google 포토
