Google Fotos: Schwachstelle erlaubte Dritten Einsicht in den Standortverlauf

Eine mittlerweile geschlossene Sicherheitslücke in Google Fotos hatte Hackern erlaubt Einsicht in euren Standortverlauf zu erlangen. Das Problem war hier die Web-Version von Google Fotos, bei der eine Schwachstelle es möglich machte, an private Daten zu gelangen. Die Krux war hier die Verknüpfung mit der Suchfunktion nach etwa Datum und den Orten, an denen die Fotos aufgenommen wurden.

Ganz so einfach war das Procedere zur Ausnutzung aber auch wieder nicht: Bevor Dritte womöglich euren Standortverlauf bei Google Fotos ausspionieren konnten, mussten sie euch nämlich erst einmal auf eine Website mit Schadsoftware locken. Wer dann parallel auch bei Google Fotos eingeloggt gewesen ist, konnte in die Falle tappen. Umsichtigen Nutzern dürfte das glücklicherweise also nicht ganz so leicht widerfahren.

Bei Betroffenen konnten die Angreifer aber nicht nur die Orte erkennen, an denen die Fotos aufgenommen wurden, sondern auch die Daten und Informationen zu getaggten Personen. Es handelte sich hier um einen Cross-Site Search (XS-Search) Angriff. Eine detaillierte Beschreibung der Methode könnt ihr hier nachlesen.

Google hat die Sicherheitslücke mittlerweile geschlossen, derartige Angriffe sind also aktuell nicht mehr auf Google Fotos möglich. Ob die Schwachstelle durch Dritte jemals ausgenutzt wurde, ist offen. Ein Sicherheitsforscher hatte die Lücke dokumentiert und Google mitgeteilt. Dort wurde offenbar relativ zügig reagiert.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden. PayPal-Kaffeespende an den Autor.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

11 Kommentare

  1. >> Umsichtigen Nutzern dürfte das glücklicherweise also nicht ganz so leicht widerfahren.

    Mit umsichtig meint ihr bestimmt AdBlock-Nutzer, oder? Werbung ist und bleibt die perfekte Möglichkeit für Schadcode!

  2. Dann wohl lieber selber hosten… Bin eh schon ne Weile am Überlegen, Raspi+nextcloud oder einfaches 1bay Synology NAS… kann mich nicht entscheiden 😀

    • tartaros84 says:

      1-bay?
      Wenn dann 2-Bay, falls eine HDD mal ausfallen sollte, bleiben die Daten erhalten.

      • 2-bay?
        Lieber 4-bay falls zwei Festplatten gleichzeitig ausfallen sollten…
        Wenn dann an einem weiteren Ort für Backup sorgen.

        • Also dann doch lieber 2x4Bay NAS wie bei mir falls mal eine NAS ausfällt ;-). War jetzt zwar nicht wirklich ernst gemeint habe ich aber so laufen eine im Keller und eine auf dem Dachboden Feuersicher natürlich. Und am zweiten Standort liegt auch noch ein Backup. Das wird aber nur 1 mal im Jahr gesynct.

      • Der einzige wirkliche Vorteil wäre dann eine fortlaufende Verfügbarkeit der Daten, soweit die Laufwerke im RAID-Verbund konfiguriert sind. Das bringt zwar eine zusätzliche Sicherheit, aber zumindest im privaten Bereich ist es m.E. meist sinnvoller, sich eine externe Backuplösung zu überlegen (z.B. eine externe Festplatte) und die Daten vom NAS regelmäßig zu sichern. Das bringt mehr hinsichtlich der Datensicherung und ist vermutlich auch günstiger als ein NAS mit mehreren Einschüben, die ja auch bestückt werden wollen.

    • Ob Du sowas wie einen Raspberry Pi mit z.B. Nextcloud einsetzt, solltest Du m.E. davon abhängig machen, inwieweit Du bereit bist, dich mit so einer „Bastellösung“ auseinanderzusetzen, nicht nur mit Blick auf die erstmalige Einrichtung, sondern auch danach. Denn genau das ist es, eine „Bastellösung“. Das ist nicht unbedingt was schlechtes und bietet auch Vorteile, deutlich einfacher und komfortabler geht es aber mit einem „richtigen“ NAS, was zudem auch noch alles in einem halbwegs kompakten Gehäuse bietet.

      Ob es eine oder mehrere Festplatten sein sollen, ist fast schon eine Glaubensfrage. Ich habe mich vor einigen Wochen auch damit auseinandergesetzt und bin für mich zu dem Schluss gekommen, dass ich mit einem 1Bay-NAS gut bedient bin, alles andere ist einfach oversized. Selbst wenn die eine Festplatte dann mal ausfällt (was ich in all den Jahren noch nie erlebt habe), habe ich noch ein externes Backup, von dem ich die Daten wieder herstellen kann. Das schlimmste, was dann eintritt, wäre lediglich eine temporäre Nichtverfügbarkeit der Daten. Und wenn man nicht gerade im Firmenumfeld damit arbeitet, wird das im Regelfall nicht dramatisch sein. Aber das muss jeder für sich abwägen und hängt sicher auch mit der konkreten Nutzung zusammen.

      • Danke für die Tipps. Mit einer Bastellösung habe ich im Prinzip kein Problem – habe früher auch alle meine PCs selber zusammengefrickelt, inkl. Linux.

    • Es schadet nicht, dir vorher mal deine eigenen Anforderungen zu definieren und zu notieren. NextCloud auf einem NAS setzt glaube ich schon einen bestimmten Prozessortypen voraus. Beim RasPi weiß ich nur, dass es geht und man natürlich optimalerweise das aktuellste Modell nimmt.
      Wenn du gedenkst, am RasPi via USB HDDs zu betreiben, solltest du dich informieren, wie das mit dem Datendurchsatz ist. Ein aktuelles NAS kann für eine eigene Cloud vorteilhafter sein, bzgl. der Netzwerkgeschwindigkeit.
      Ob du ein NAS mit einem oder zwei Einschüben anschaffst, ist letztlich dir überlassen. Ich fand es damals logischer, ein NAS mit zwei Einschüben zu kaufen. Ist man in mehrerlei Hinsicht flexibler. Man kann es ja auch erst mit einer HDD betreiben. Die Speicherplatzerweiterung ist mit einem 2-Bay NAS halt einfacher. Man kann mit zwei HDD mittlerern Volumens und Preis anfangen und bei Bedarf später eine davon gegen eine wesentlich größere HDD tauschen, statt erst das Geld in ein 1-Bay NAS zu investieren und dann später noch mal in ein 2-Bay NAS.
      Die Backupmöglichkeiten mit einem NAS – gerade beim Cloud-Einsatz – sind auch wesentlich praktikabler, als am RasPi.

      Weiß zwar nicht, ob das möglich ist, aber vielleicht würde ja sogar eine Mischung aus beidem funktionieren: RasPi als NextCloud-Instanz, ein günstiges NAS als Datenspeicher für den RasPi.

      • Danke für die Tipps. Die Anforderungen sind nicht besonders hoch. 1bay reicht, da ich eh Backup auf externe Platten mache. Und ansonsten sollen da einfach nur meine bearbeiteten Fotos von allen Geräten aus zugreifbar sein.
        Allerdings wäre es auch interessant, wenn man den „Eigene Dokumente“ Ordner irgendwie auslagern könnte. Auf dem Notebook wird’s langsam eng…. Dafür bräuchte ich dann wohl doch guten Durchsatz.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.