由 dawei
研究人员在Google相册应用上发现了一个已修复的漏洞。有了这个漏洞,黑客可以使用Google相册来跟踪他们的位置历史记录。来自互联网安全公司Imperva的Ron Masas在博客文章中解释说,Google相册最近很容易受到基于浏览器的定时攻击,称为跨站点搜索(XS-Search),推测通过使用图像数据访问某个地方或国家。
ASP站长网为了使此攻击起作用,用户必须在登录Google相册时被指示打开恶意网站,黑客必须投入一定的精力进行攻击,因此这不是普遍存在的风险。研究员写道,
“为了使这次攻击有效,我们需要诱骗用户在登录Google相册时打开恶意网站。这可以通过向受害者发送流行的消息服务或电子邮件上的直接消息,或者通过在Web广告中嵌入恶意Javascript来完成。 JavaScript代码将静默生成对Google相册搜索端点的请求,为攻击者想要的任何查询提取布尔值答案。“