Google Fotoğraflar'da Depolanan Fotoğraflar ve Videolar Basit Bir Gizlenmiş Web Bağlantısının Arkasında Kötü Korunuyor mu?
Google Fotoğraflar, diğer Google ürünleri ve hizmetlerine de entegre edilmiş açık ara en popüler bulut tabanlı depolama çözümlerinden biridir. Bununla birlikte, bir araştırmacının keşfettiği, kullanıcıların depoladığı ve paylaştığı medya için oldukça basit bir koruma katmanına da sahip. Özel olarak paylaşılan fotoğrafların ve videoların herkese açık olarak gösterilmesi arasında duran tek şey, karmaşık bir web bağlantısıdır. Belirli bir kişiyle paylaşmak isteyen medya sahiplerine, paylaşılabilecek bir bağlantı sunulur. Esasen, bir bağlantı oluşturan Google Fotoğraflar'dır. Ancak, yalnızca yetkili hesaplara sınırlı erişim sunmak veya izin vermek yerine, web bağlantısına erişimi olan herkes içeriğe kolayca erişebilir ve görüntüleyebilir.
Google Fotoğraf kullanıcıları, platformda depolanan fotoğraflar ve kullanıcılar da dahil olmak üzere özel içeriklerinin görünürlüğünü artıran oldukça garip bir boşluk hakkında uyarılmalıdır. Medyayı paylaşmak için oluşturulan özel bağlantılar, aynısını görüntülemek için herkes tarafından kolayca kullanılabilir. Başka bir deyişle, özel olarak paylaşılan bağlantılar herkese açık hale geldi. Söylemeye gerek yok, bu oldukça ciddi bir ihmal ve Google'ın bunun olmasına nasıl izin verebileceği saçma.
Google Fotoğraflar'da Özel Olarak Paylaşılan Medya Nasıl Herkese Açık Olur?
Araştırmacı Robert Wiblin, geçtiğimiz günlerde 80.000 Saatin üzerinde, Google Fotoğraflar'da depolanan özel içeriğin temelde açığa çıkmasına neden olan ve herkese açık hale getiren güvenlik açığını keşfetti. Senaryoyu birkaç kez yeniden oluşturmayı denedi ve başardı ve her seferinde özel olarak paylaşılan bağlantılara herhangi bir Google hesabından genel olarak erişilebilir. Şaşırtıcı bir şekilde, fotoğraflar ve videolar da dahil olmak üzere içeriği görüntülemek isteyen kişilerin bir Google hesabına giriş yapmalarına gerek yoktur. Özünde, Google Fotoğraflar medyasının paylaşılan bağlantısına, çalışan internete ve bir web tarayıcısına erişimi olan herkes, içeriği sınırsız olarak görüntüleyebilir. Medyaya erişmek için özel izinlere, hatta bunu yapmak için bir Google hesabına ihtiyaçları olmayacak. Gerekli olan tek şey web bağlantısına erişimdir.
Google, Google Fotoğraflar'da Paylaşılan Medyaya Yetkisiz Erişime Karşı Tek Savunma Olarak Gizlemeye Güveniyor mu?
Google'ın, yetkisiz kişilerin Google Fotoğraflar'da paylaşılan resimlere ve fotoğraflara erişmesini önlemek için birden fazla güvenlik önlemi ve dijital kapı kullanmadığı açıktır. Arama devi, içerik ile yetkili veya yetkisiz erişim arasında duran tek koruma olarak yalnızca paylaşılan içeriğe web bağlantısının karartılmasına dayanır.
Google'ın savunmasında, bilgisayar korsanlarının veya kötü niyetli kişilerin, paylaşılan fotoğraf ve videolara erişim sağlayan web bağlantısını tahmin etmesi neredeyse imkansızdır. Ancak gelecekte, küçük bir kusur, bilgisayar korsanlarının URL'yi oluşturmak için çalışan algoritmayı tersine mühendislik yaparak bunu yapmasına izin verebilir. Basit bir deyişle, URL'yi tahmin etmek için güçlü bilgi işlem donanımı kullanan kaba kuvvet saldırıları, Google Fotoğraflar'daki paylaşılan medyaya asla erişim sağlayamayabilir.
Ancak, doğru ve eksiksiz web bağlantısına erişmek, yaygın olarak kullanılan bazı diğer tekniklerle gülünç derecede basittir. İçeriği görememesi gereken üçüncü taraflar, Google Foto'da kendilerine erişim sağlayan URL'yi kolayca güvence altına alabilir. URL'yi kullanmanın en yaygın yöntemlerinden bazıları, ağ izlemeyi, yanlışlıkla paylaşmayı veya şifrelenmemiş e-postayı içerir. Ayrıca, bilgisayar korsanları, insanların yanlışlıkla veya yanlışlıkla bağlantıları paylaşmalarını sağlamak için sosyal mühendislik uygulayabilir. URL'ye erişim kazanmak, esasen gerekli olan tek adımdır. Bağlantıya erişimi olan herkes, bağlantıyı herhangi bir web tarayıcısına yerleştirebilir ve paylaşılan medyayı görüntüleyebilir. Daha da endişe verici olan şey, yetkisiz kişilerin bir Google Hesabı'nda oturum açmamış olsalar bile içeriğe erişebilmeleridir.
Google, Google Fotoğraflarda Bu Kadar Zayıf Korumayı Açıkça Belirtmiyor, Ancak Bir Güvenlik Anahtarı Sunuyor
Robert Wiblin, Google Fotoğraflar'ın bu gerçeği müşteriye açıklamadığı konusunda ısrar ediyor. Daha da endişe verici olanı, medyanın istatistiklerini belirlemenin veya tespit etmenin kesin bir yolunun olmamasıdır. Başka bir deyişle, Google müşterilerinin paylaşılan fotoğrafların ne sıklıkta ve kim tarafından görüntülendiğini belirlemek için arayabilecekleri uygun bir bilgi yoktur.
Google sadeliği ve kullanım kolaylığı ile bilinir. Geliştirdiği ürünler genellikle karmaşık ayarlar sayfasından yoksundur. Kullanıcılar hızlı bir şekilde gezinebilir ve hatta belirli bir ayarı arayabilir. Çoğu zaman, belirli bir eylem veya komutla ilgili ayarların çoğu, aynısı yürütülürken görünür. Ancak, Google Fotoğraflar ve özellikle medya paylaşımı için durum böyle değil.
Google Fotoğraflar, başkalarının artık erişememesi için medya paylaşımının nasıl devre dışı bırakılabileceği konusunda net ve doğrudan bir bilgi sunmaz. Hizmet kullanıcılarının paylaşım menüsüne erişmeleri ve belirli paylaşılan albümün üzerine gelmeleri gerekir. Açılan bir menü, albümü silme seçeneği sunar. Ancak, Google Fotoğraflar'da paylaşılan medyaya yetkisiz erişimi kısıtlamanın başka bir yolu daha var. Kullanıcılar, albümün tamamını silmek yerine, albüm seçeneklerinde bağlantıyı paylaşmayı durdurmak için bir seçenek arayabilirler.
İçeriğe açık izin olmadan erişmenin bu yeni keşfedilen ve hala kullanılabilir yöntemi oldukça ciddidir. Google Fotoğraflar arayüzü, Google Drive'a oldukça benzer. Dahası, ikisi yakın zamana kadar içsel olarak bağlantılıydı. Bu, birkaç kullanıcının Fotoğraflar'ın Drive ile aynı yetki ve kısıtlamalara sahip olduğunu varsaymasına neden olur. Ancak, durumun böyle olmadığı açık. Ayrıca, son zamanlardaki bağlantısızlık meseleleri daha da karmaşık hale getirdi.
İlginç bir şekilde, Google Fotoğraflar'daki paylaşım davranışını Google Drive'ınkiyle eşleştirmek Google için o kadar zor olmayabilir. Google Drive, özel paylaşımları YouTube'daki "Özel" videolara benzer şekilde ele alır. Bu tür videolara yalnızca yetkili izleyiciler erişebilir. Ancak, Google Fotoğraflar, medyayı YouTube'da "Listelenmemiş" videolar olarak değerlendiriyor gibi görünüyor. Bir kişinin videoya bir bağlantısı varsa, aynı şeyi kolayca izleyebilir. Fotoğraflar, URL içinde veya açılış sayfasında kimlik doğrulama ve kısıtlama kuralları eklemeye başlarsa, medya yetkisiz erişime karşı korunabilir.