sábado, 14 de mayo de 2011

Es en realidad una vulnerabilidad?

Ayer no mas estaba enviándoles a los amigos de google una posible vulnerabilidad no convencional que tenían en google maps que en teoría podría permitir escribir y dibujar sobre el mapa que ve todo el mundo texto o dibujos arbitrarios, pero a ellos parece no interersarles ya que me dijeron lo siguiente:

Hi Augusto,

Thank you for the information. We reviewed it and concluded that this
feature works as intended. However, if we notice any abuse of this
functionality, we will be happy to revisit this decision.

Regards,
Artur, Google Security Team



La idea de esto no es que salgan todos a tratar de subir grafitis a googlemaps sino lo que intento demostrar es que los ataques no convencionales pueden ser efectivos también.

Como a ellos parece no importarles voy a hacer un full disclousure de como es lo que les reporte para que cada uno emita su propia opinión.
De hecho estoy usando sus mismos servicios para que si ellos lo consideran necesario hagan crema esto que escribo o si son fieles a su opinión permitan que siga siendo publicado sin temor.
En la siguiente imagen se muestra un ejemplo de como quedaría el ataque una vez completado.

Esto es posible porque google sube las imagenes con la información de gps con la que están tagueadas. Si la información de gps es falsa, igual la suben. Entonces ahora lo único que queda es armar las letras.

Una forma de hacerlo es usando el programa fakegps (http://droidmill.com/fake-gps-location-182307.html) que se puede bajar del android market para celulares android. Levantas el programa, seteas la ubicación del primer punto de la palabra que queremos formar y luego sacamos una foto que cumpla con las políticas de upload que permite google creo que lo había leído acá http://www.panoramio.com/terms/ sino lo corrijo después, repetir la operación con los demás puntos. La idea es que un grupo de personas se repartan las fotos y las suban todas en un periodo de tiempo determinado que puede ser de una semana. Una vez subida se las pasa para su aprobacion donde solo se fijan si es un paisaje o algo que represente la zona aunque vi muchas fotos de desiertos de arena en la antartida como por ejemplo esta imagen http://www.panoramio.com/photo/21038831 que si no la borraron de google map después de habérselas mostrado como ejemplo me llamaría mucho la atención. Luego hay que pedirles que la pasen a google earth. Cuando todas las fotos son subidas van a parar a las ubicaciones que nosotros quisimos escribir el texto y cada foto marcara un punto en el mapa que ve todo el mundo que usa http://maps.google.com. De esa forma podría demostrarse que es posible mandar escribir o dibujar cualquier cosa en google maps.


Bueno espero que les haya gustado, seguro va a haber mas de uno que no tome enserio esto, pero como a mi todo me chupa un huevo. Esta todo bien. Saludos y gracias por tomarse el tiempo de leer el ultimo de mis delirios.

4 comentarios:

  1. Che, pregunta, se puede automatizar esto? Digo, si al poner mas de n fotos te pide capcha estamos jodidos, pero si se puede hacer un script que escriba lo que vos le digas, eso si que estaria divertido :)

    ResponderEliminar
  2. Es posible la automatizacion de la tecnica en lo relativo a la generacion de las fotos con las posiciones en el mapa convenientemente spoofeadas.

    ResponderEliminar
  3. para mi la idea esta bueno, yo lo veo mas de hacer un graffiti o algo asi...

    ResponderEliminar
  4. La idea es escribir lo que queres en un lugar donde se supone que no es posible hacer tal cosa.
    Gracias por el comentario

    ResponderEliminar