El sitio expone la ubicación GPS del usuario a través de datos EXIF

Navega tus respuestas
4

Recientemente, mientras me acechaba en uno de los sitios de redes sociales populares entre la gente local, descubrí que el sitio no borra los datos del GPS de las imágenes cargadas. Me puse en contacto con ellos y les conté mis preocupaciones, pero su respuesta fue que creen que subir imágenes con (potencialmente) la dirección de su casa es solo un error del usuario.

He intentado discutir con ellos, porque

  • A muchos usuarios les gusta publicar selfies en el sitio, por lo que hay bastantes fotos
  • La base de usuarios del sitio contiene muchos adolescentes y otras personas potencialmente vulnerables (a los abusos de la vida real si su dirección de casa / trabajo se filtraría)
  • La API del sitio hace que sea muy fácil buscar selfies y otras imágenes
  • Y finalmente, una vez que alguien comenta en su foto, ya no puede eliminarla (por lo tanto, incluso si alguien se da cuenta de su error, ya no puede solucionarlo, a menos que se ponga en contacto con el servicio de atención al cliente para eliminar las imágenes ofensivas). Incluso si abandonas el sitio de redes sociales por completo, no se eliminarán las imágenes que ya hayas subido y que tengan comentarios sobre ellas.

Esto es algo por lo que debe preocuparse, pero según su respuesta no lo creyeron, incluso después de que les mostré algunos de mis hallazgos, como el hecho de que usar su API alrededor del 13% de las imágenes tiene información de GPS en sus datos EXIF.

Para ayudar a crear conciencia, creé una publicación de blog (aún no publicada) y una aplicación de código abierto (aún no publicada) que utiliza la API del sitio para revisar las imágenes de un usuario y les dice si son vulnerables o no. Si lo son, la aplicación también les sugiere que se comuniquen con el servicio de atención al cliente y les pidan que eliminen completamente las imágenes ofensivas del sistema (ya que esa es la única manera de deshacerse de ellas).

Desafortunadamente, mientras intento que la aplicación solo devuelva los datos mínimos (solo le dice al usuario si son vulnerables o no, pero no traza las ubicaciones en un mapa o algo similar), estoy preocupado que una persona maliciosa, después de darse cuenta del agujero, podría modificar la aplicación de manera que pudiera trazar fácilmente las ubicaciones de las personas que han subido imágenes con datos de GPS.

Mis preguntas son:

  • ¿Se considera esto realmente un riesgo para la seguridad o tienen razón en que esto es solo un error del usuario?
  • ¿Mi enfoque de publicar una publicación de blog y una aplicación que pueda indicarte si eres vulnerable o no es la correcta, ya que no pude hacer que los desarrolladores taparan este agujero?
  • ¿Debería preocuparme que si hago públicos mis hallazgos, pueda dar lugar a una oleada de uso malintencionado, lo que me preocupa que pueda conducir al acecho de la vida real y al abuso de algunos de los miembros del sitio? ¿Sólo te preocupas demasiado?
pregunta SztupY 27.10.2016 - 04:23
fuente

1 respuesta

3
  

¿Se considera esto realmente un riesgo de seguridad, o tienen razón en que esto es solo un error del usuario?

     

¿Mi enfoque de publicar una publicación de blog y una aplicación que pueda indicarte si eres vulnerable o no es la correcta, ya que no pude hacer que los desarrolladores taparan este agujero?

     

¿Debo preocuparme de que si hago públicos mis hallazgos, esto puede llevar a una oleada de uso malintencionado, lo que me preocupa que pueda conducir al acecho de la vida real y al abuso de algunos de los miembros del sitio? ¿Sólo te preocupas demasiado?

Los desarrolladores que no quieren arreglarlo no hacen que el problema desaparezca. Examinemos dos posibilidades para tu primera pregunta:

Si los usuarios del sitio están de acuerdo con los desarrolladores y no les importa que se les haya explicado, no hubo ningún daño en su publicación de blog, ni en ninguna otra persona que use su código.

Si los usuarios del sitio no están de acuerdo con los desarrolladores y se preocupan , ahora pueden a) solicitar a los desarrolladores que cambien de opinión, b) dejar de usar el sitio, c) implementar la limpieza en su extremo, o d) tomar otras acciones para solucionar el problema. El problema ya estaba presente , por lo que su publicación en el blog ha llevado a una mejor situación para esos usuarios. La única manera en que este no sería el caso es si está asumiendo que nadie más lo ha hecho, o lo hará nunca, descubre el problema, y la historia dice que es una suposición pobre.

    
respondido por el Xiong Chiamiov 27.10.2016 - 21:05
fuente

Lea otras preguntas en las etiquetas

fuentes de tiempo aceptadas por la industria ¿Qué lista de palabras usa la araña OWASP ZAP?