Hacker boos over Google Voicemail blunder
Google heeft de plank volledig misgeslagen door het indexeren van de links waarmee iedereen Google Voicemail berichten kan beluisteren, aldus beveiligingsonderzoeker Robert 'Rsnake' Hansen. Via een eenvoudige zoekopdracht waren de voicemails van tientallen mensen door iedereen te lezen en te beluisteren. "Ik zie dit soort dingen continu gebeuren. Als je denkt dat je URL veilig is omdat je de enige bent die het weet, dan begeef je je op een duister pad." Hansen merkt op dat Google de geobfusceerde URL minimaal met gebruikersgegevens had moeten combineren, om ervoor te zorgen dat het echt de eigenaar van het account was die de voicemails beluisterde. "Dit is letterlijk security 101."
Zelf is Hansen wel een voorstander van obfuscatie. "Mensen die denken dat het niet werkt, zien niet dat dingen als wachtwoorden op zichzelf ook obfuscatie zijn. Obfuscatie werkt alleen zolang jij de enige bent die het weet." Zodra dit soort informatie op het web verschijnt, is het slechts een kwestie van tijd voordat het verkeerd gaat. "In Google's geval, is tijd meestal maanden. Zie dit als de zoveelste slechte ontwerpbeslissing. Zo gaat ie lekker cloud!"
Maja, er zijn nog steeds mensen die denken dat je 'iets' geheim kan houden als meer dan 1 persoon er kennis van heeft genomen :(
Als google mij de functionaliteit bied mijn voicemail publiek beschikbaar te maken middels een hyperlink.
Is het dan gek dat deze ook geïndexeerd kunnen worden door de op het web aanwezige zoekmachines(?).
Jij - als gebruiker - wil dat het publiek word. Wie/wat weerhoud anderen er dan van om het te bekijken?
Nu heb ik me hier niet in verdiept maar toch..
Grtz, Knight Of The Post
Volgens mij zie je dat verkeerd. Jij wilt als gebruiker het bericht met bepaalde mensen delen. De functionaliteit die Google biedt komt erop neer dat je de informatie vervolgens met iedereen deelt die de link weet te bemachtigen, terwijl je deze functionaliteit ook anders in kan richten. Indien jij een FTP hebt, en jij wilt deze met een paar andere mensen delen, dan gebruik je toch ook geen anonymous access maar dan zorg je toch voor een persoonlijk of functioneel account waarmee zij toegang kunnen krijgen ?
Misschien wilden sommige van deze mensen hun voicemail delen met de wereld; dat wil nog niet zeggen dat gedeelde links op Google Voice per definitie voor iedereen toegankelijk moeten zijn, en er zijn tal van manieren om dergelijke links te bemachtigen zonder dat ze voor je bedoeld zijn, ook wanneer deze niet geindexeerd zijn in Google of andere zoekmachines.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.