记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Gmail隐私大拷问:看完你还敢用吗

2015-07-09 16:55

习科攻防安全研究室近期内部发布了关于针对Gmail常用登陆地点变更二次认证的解决方案。该方案阐述了Google对于用户常用登陆地点、设备变更后的防护措施的繁琐以及软肋点。不过本文主题并非讨论我们是如何绕过Gmail变更登陆地点、设备二次认证的。

 

 

 成功绕过常用登陆地点、设备后,习科精选了部分成功案例并对其Google账户储存的用户信息进行研究,发现用户在Google面前几乎毫无隐私可言,更从侧面反映出美国当局对民众掌控的丧心病狂。

I. Gmail & Google Photos

Gmail作为Google的邮件服务提供,在服务器中存储Mail邮件无可厚非,然而研究发现Gmail服务器存在权限接口,该接口属于高权限处理组件,获得该接口的使用权后,可在未经Gmail账户许可的情况下,导出任意账户的Gmail邮件及Google Photos,为美国当局提供便利。

***该研究成果由俄罗斯黑客提供,美国当局不表态,日本当局表示不关心,台湾表示喜大普奔又得到美国重视,大陆当局表示相信存在,越南当局表示又有机会在南海挑事了,菲律宾当局表示Google公司员工普遍英语水平太差,非洲当局表示Hotmail粉,英国当局表示出柜已不属隐私,韩国当局表示Gmail在Hanmail面前就是渣,朝鲜当局表示一拔电源你监控NMLGB

 

II. Contacts & Phones

网上有“巧用Google账户备份安卓联系人”的文章,感觉很便利是吗?

在Google的账户信息中存储着4套通讯录,分别是All、My、Starred和Phones,这四套通讯录的格式都是一样的

 

 

 All的体积最大,因为存储了所有的联系人,这其中包括之前你已经删除的,My是你选择同步的,不包含已经删除的。Starred是被加星标的联系人,Google在My和All中已经包含了Starred内容,出于无论读取、处理以及体积等各方面的效率考虑,都不需要把加星标注的联系人内容完整的储存一遍,至于为什么,呵呵,美国当局分析联系人更方便呗。

最后说这个Phones,这个列表只有一个联系人,附带了3个子信息文件,联系人即自己,Google将本机的手机号码、Gtalk(即Gmail)账户存储进去,理论上来说,即便不用安卓系统也是可以使用Gtalk的,例如苹果iOS+Hotmail+Gtalk App完全正常使用,然而安卓无耻的将本机号码、Gtalk账户同步到了Google服务器,顺便还同步了通话记录、语音信箱和短信信箱,也就是phones附带的3个子文件。

 

III. Bookmarks & LocationHistory 

Google会将用户使用Google Map中的书签储存到服务器,这无可厚非。

 

 Google Map的书签名字储存在bookmarks的字段中,以Google Map的超级链接形式储存,而在Map的Saved Places字段中以Json形式储存了这些地点的:算了还是自己看吧

 

 

 当然了,这并不是重点,这张图只是为了展示location格式的json文件都有些什么信息。

在locationhistory信息中,Google储存了一个用户一生带手机所到过的所有地方。。。经过测试的案例中,基本上LocationHistory文件大小都在200MB上百万次GPS经纬度信息。

海量数据别说什么用户体验和调研,关闭了用户体验Google也照样会记录,而Google Map的交通路况大数据原理是当前街道Google用户平均行驶速度,而不是这些历史记录,况且LocationHistory的记录并非Google Map创建,而是安卓系统创建。

更为重要的是,这些信息Google和美国当局是可见的,而作为Google用户你是不可见的。

 

IV. Youtube

在YouTube中,储存播放记录就算了,连搜索记录都保存,真是醉了

 

 

 打开YouTube的“隐私设置”,相关的设置有两项,一个是“顶过的视频和订阅”,另一个是“针对我兴趣投放的广告”。

在Google广告设置中选择“禁止在所有合作伙伴网页上投放与您的兴趣相符的Google广告”,然而这并没有什么卵用,Youtube我行我素的为Google记录用户的搜索记录,换句话说,其实YouTube记录搜索记录并不是完全为了广告,比方说哪个政客有个SM或者情趣内衣之类的爱好什么的,哪个。

这些记录最早什么时候开始的只有Google自己知道,总之习科测试的账户中从账户创建就开始记录了,这些记录长达几年,而用户也无法删除这些记录。

 

V. End

Google给一个用户创建的档案通常在2到5个G左右,也有高的我们同步回来一个人的Google档案有大概20个G。

反正Google不差钱,服务器数量占整个互联网2%以上的Google已然拥有了整个互联网,然后Google还要拥有全世界。

最后,Google粉喷死习科,Nuclear Completed。。。

//Silic.Org

知识来源: silic.org/post/Trouble_in_Gmail_Privacy

阅读:106884 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“Gmail隐私大拷问:看完你还敢用吗”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云