Знает больше, чем вы думаете
При установке приложение FindFace запрашивает доступ к личной информации и фотографиям пользователя. Дело в том, что в результатах поиска оно выдает не только основное фото со страницы найденных людей, но и фото из других альбомов, в том числе и закрытых.
Эксперимент Hi-Tech Mail.Ru
Чтобы подтвердить наличие уязвимости, мы создали альбом и загрузили в него три фото, которые ранее нигде не публиковались. Альбом сделали закрытым (фото видны только автору, комментировать их может также только автор) и сохранили.
Затем мы сделали свежее селфи и загрузили его в FindFace. Сервис нашел похожих людей, причем страницу автора снимка показал одной из последних.
А вот теперь самое интересное: после выбора этой страницы и просмотра всех фото мы видим... правильно, снимки, загруженные в закрытый альбом:
Мы направили письмо разработчикам с описанием уязвимости. FindFace ответили, что бояться нечего – фото из закрытых альбомов будут видны только вам, а другие пользватели увидят только снимки из открытых альбомов.
Дело в том, что Вы зашли в сервис FindFace под тем же аккаунтом, который создали ВКонтакте и поэтому получается, что Вы смотрите свои же фото, которые Вы сделали закрытыми для окружающих, но открытыми для себя! То есть, по сути, Вы ищете сами себя. А Ваши закрытые альбомы, для Вас, естественно, открыты. Если Вы войдете под другим именем/аккаунтом и попробуете найти этого же человека, то Вам будет недоступен просмотр его фото, так как он сделал свои фото приватными.
Поделитесь новостью с друзьями! Кнопки ниже.
