研究人员最近发现了谷歌产品中两个不相关的漏洞。Imperva找到了一种方法来对Google Photos进行旁道攻击，让不良演员收集关键位置，时间和识别个人帐户信息。另一个由Positive Technologies发现，是一个更危险的Android漏洞。它还公开了用户数据，谷歌将其严重程度评为“高”。

由于Google的产品非常受欢迎，因此这些漏洞可能会影响数亿用户。截至2017年5月，谷歌照片拥有超过5亿用户。同时，Android拥有超过20亿台设备，但受影响的数量可能较小，因为Android 4.4 KitKat中引入了相关的安全漏洞。

Google照片中的人，地点和时间

网络版Google照片中发现的漏洞可能会随着时间的推移暴露用户的位置，以及拍摄照片时的身份。Imperva的Ron Masas 写了一篇博文，详细介绍了这个问题以及他是如何找到这个问题的。

Google相册使用图片中的元数据以及Google支持的机器学习(如面部识别)来生成宝藏信息。例如，它可以识别你儿子在照片中的脸部，并在他出现的每张图像中自动标记他，即使他长大并且多年来一直在变化 - 无论他是微笑，皱眉还是不直接面对镜头。您使用手机拍摄的照片会标有精确的地理位置信息。如果您上传使用未自动对图像进行地理标记的DSLR拍摄的其他照片，则引擎仍然可以根据上下文对位置进行有根据的猜测。

大部分信息都可以在Google相册帐户中进行用户搜索，Masas找到了一种使用旁道攻击来利用它的方法。“经过一些反复试验，我发现谷歌照片搜索终端很容易受到基于浏览器的定时攻击，”他写道。“我使用HTML链接标记为Google照片搜索端点创建多个跨源请求。然后使用JavaScript，我测量了onload事件触发所需的时间。“

从那里，他能够确定服务执行返回零结果的搜索查询所花费的时间。当他在基线上进行了花费任何时间的搜索时，他知道谷歌照片正在返回某种结果。通过一定程度的访问权限，不良演员可以在您的Google相册帐户中进行搜索，并使用时间来了解哪些字词会返回结果。

例如，查询国家或城市的名称可以告诉攻击者你在西班牙或纽约市。在搜索中包括日期或日期范围可以确定“何时”，添加名称可以显示您的身份。Masas表示，对于黑客获取该级别的曝光率，他们需要让用户在登录Google照片时打开恶意网站或登录网页广告中包含恶意JavaScript的网页。最有可能的是，不良演员会使用网络钓鱼方案诱骗用户。

WebView有问题

Positive Technologies在新闻稿中表示，它发现的漏洞(CVE-2019-5765)会影响Android 4.4及更高版本，WebView组件应该受到指责。在其开发者网站上，Google解释说“当您需要增加对UI和高级配置选项的控制时，WebView非常有用，这些选项允许您在专门设计的应用环境中嵌入网页。”WebView是Android Instant Apps的基础，一个功能，基本上可以让你在手机上试用一个应用程序，而无需下载整个东西。

由于WebView是Chromium引擎的一部分，Positive Technologies表示任何基于Chromium的浏览器都容易受到攻击。谷歌浏览器更受欢迎，但三星互联网浏览器和Yandex浏览器也受到影响。

Positive Technologies的Leigh-Anne Galloway描述了攻击如何发挥作用：“最明显的攻击场景涉及鲜为人知的第三方应用程序。在包含恶意负载的更新之后，此类应用程序可以从WebView读取信息。“她说攻击者可以访问用户的浏览器历史记录，身份验证令牌，标题等。

修补

Google照片漏洞已经过修补。对于使用Android 7.0或更高版本的用户，简单的Chrome浏览器更新应该可以减轻WebView问题的任何威胁，因为该错误已在Chrome 72(1月发布)中修补。运行早期版本Android的用户必须通过Google Play更新WebView。Positive Technologies表示，如果在给定设备上没有Google Play，用户需要直接从设备制造商处获取WebView更新。