Hacker boos over Google Voicemail blunder
Google heeft de plank volledig misgeslagen door het indexeren van de links waarmee iedereen Google Voicemail berichten kan beluisteren, aldus beveiligingsonderzoeker Robert 'Rsnake' Hansen. Via een eenvoudige zoekopdracht waren de voicemails van tientallen mensen door iedereen te lezen en te beluisteren. "Ik zie dit soort dingen continu gebeuren. Als je denkt dat je URL veilig is omdat je de enige bent die het weet, dan begeef je je op een duister pad." Hansen merkt op dat Google de geobfusceerde URL minimaal met gebruikersgegevens had moeten combineren, om ervoor te zorgen dat het echt de eigenaar van het account was die de voicemails beluisterde. "Dit is letterlijk security 101."
Zelf is Hansen wel een voorstander van obfuscatie. "Mensen die denken dat het niet werkt, zien niet dat dingen als wachtwoorden op zichzelf ook obfuscatie zijn. Obfuscatie werkt alleen zolang jij de enige bent die het weet." Zodra dit soort informatie op het web verschijnt, is het slechts een kwestie van tijd voordat het verkeerd gaat. "In Google's geval, is tijd meestal maanden. Zie dit als de zoveelste slechte ontwerpbeslissing. Zo gaat ie lekker cloud!"
Maja, er zijn nog steeds mensen die denken dat je 'iets' geheim kan houden als meer dan 1 persoon er kennis van heeft genomen :(
Als google mij de functionaliteit bied mijn voicemail publiek beschikbaar te maken middels een hyperlink.
Is het dan gek dat deze ook geïndexeerd kunnen worden door de op het web aanwezige zoekmachines(?).
Jij - als gebruiker - wil dat het publiek word. Wie/wat weerhoud anderen er dan van om het te bekijken?
Nu heb ik me hier niet in verdiept maar toch..
Grtz, Knight Of The Post
Volgens mij zie je dat verkeerd. Jij wilt als gebruiker het bericht met bepaalde mensen delen. De functionaliteit die Google biedt komt erop neer dat je de informatie vervolgens met iedereen deelt die de link weet te bemachtigen, terwijl je deze functionaliteit ook anders in kan richten. Indien jij een FTP hebt, en jij wilt deze met een paar andere mensen delen, dan gebruik je toch ook geen anonymous access maar dan zorg je toch voor een persoonlijk of functioneel account waarmee zij toegang kunnen krijgen ?
Misschien wilden sommige van deze mensen hun voicemail delen met de wereld; dat wil nog niet zeggen dat gedeelde links op Google Voice per definitie voor iedereen toegankelijk moeten zijn, en er zijn tal van manieren om dergelijke links te bemachtigen zonder dat ze voor je bedoeld zijn, ook wanneer deze niet geindexeerd zijn in Google of andere zoekmachines.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
