Bűvös userID, ami a fél életed megmutatja bárkinek több szolgáltatásban

alice-csodaorszagbanA szolgáltatás, aminek a privacy beállításain még a legharceddzettebb felhasználók sem tudtak kiigazodni, ilyen módon kikotyogott mindent a felhasználókról tudtuk nélkül – és most nem is a gignatikus adatlopásra gondolunk – a Google Plus 2019. április 2-én szépen lehúzta a rolót. Ez azt jelentené, hogy a Google felhasználók egyedi, felhasználói azonosítói hozzáférhetetlenné váltak volna, ilyen módon nélkülöznünk kell egy igencsak ütős OSINT-eszközt? Nem egészen.

Nem részleteznénk, hogy a Google-fiók alá tartozó Youtube-azonosító, Google Plus-azonosító (amíg létezett), Google Hangouts-azonosító nem mindig ugyanaz, viszont egy ijesztően egyszerű trükkel számtalan információ fedhető fel egy Google-felhasználóról, ha a Google szolgáltatásaiban nem állította be megfelelő elővigyázatossággal, hogy mit is oszt meg önmagáról – vagy egész egyszerűen alapértelmezetten hagyta a kapcsolódó beállításokat. Nem lenne könnyű megállapítani, hogy ebben az egészben mi mindennek a csimborasszója, de alighanem az, hogy az androidos mobilok, valamint az iOS-re telepített Google-szolgáltatások alapértelmezés szerint szinte mindent publikusan lekérdezhető módon kezelnek.

Az alábbiakban egy példán keresztül lépésről lépésre vezetjük az olvasót, hogyan jeleníthet meg egy felhasználóról gyakorlatilag minden aktivitást az userID kinyerését követően. Nem foglalkozunk viszont a kinyert adatok lehetséges felhasználásával. Ez hasznos lehet, ha azt szeretnénk megállapítani, hogy valaki egy eldobható Gmail-es címet hozott létre nemrég vagy olyan felhasználó, aki aztán mindent megoszt ész nélkül, így nem lenne praktikus olyan munkahelyre felvenni, ahol minősített adatokkal kell dolgoznia, több ötletet nem is adnánk, ami viszont fontos, hogy az ilyen információkinyerés célirányosság nélkül nem kutatás, hanem stalkolás.

A Gmail-fiók az, ami aztán tényleg mindenkinek van, annak is, aki egyébként ezer éve nem használja, így ezen cikk szerzőjének is. Miután megnyitottuk a Firefoxon vagy a Chrome-ban a Developer tools-t, egyszerűen lépjünk be a Gmail-fiókunkba.

Ezt követően navigáljunk a bal fülőn előtűnő Google Hangouts tabra, ha nem lennénk bejelentkezve a Hangouts-ba, tegyük meg.

google-userid-gathering-1

AZ oldalra kihelyezett Developer tools minden mozzanatot naplózó Network tabja ekkor már tele lesz mindenféle lommal, amit a Clear console gombra kattintással üríthetünk ki. Ezt követően a session rögzítéséhez kattintsunk a Clear console melletti Record gombra. Miután ez megtörtént, a Hangouts tabon egyszerűen kattintsunk annak a vizsgálni kívánt felhasználónak a nevére vagy vegyük fel a Google Accounthoz kapcsolt, szinte mindig gmail.com-os címe alapján, ami ismert, majd kattintsunk rá. Ezt követően állítsuk is le a felvételt a Developer toolsban.

google-hangoust-developer-tools-2

Érdemes tudni, hogy még ha csetablakot is nyitottunk a felhasználóval – de nem írtunk neki – a másik fél mindebből semmit sem fog észlelni. A Developer tools-on a jobb egérgombbal való kattintás után válasszunk egy tetszőleges elemet, majd a Save all as HAR with content menüpontot és mentsük el a HAR-fájlt. (A módszer az esetek többségében működik, a másik felhasználó privacy beállításaitól függően – például bárki írhat neki vagy csak akinek elfogadta a meghívását korábban.)

Nem baj, ha alig értünk valamit abból, amit a böngészőnk küldött a Google felé és a Google arra válaszolt, ha pedig megnyitjuk nyers szövegként a fájlt, egy körülbelül egymillió soros masszát kapunk, amiben igencsak elveszünk, ha nem tudjuk pontosan, hogy mit is kell keresni. Az egyszerűség kedvéért most feltételezzük, viszont magának a Google-nek van saját, online HAR-elemzője, ahova csak fel kell tölteni a fájlt és már át is látunk a káoszon: https://toolbox.googleapps.com/apps/har_analyzer/

google-har-analizis-3

Az All entries nézetet választva a legegyszerűbb, ha a bal oldali keresőbe beütjük egy részletét az ismert felhasználói névnek vagy email-címnek, máris megkapjuk, hogy merre kotorásszunk tovább. Esetünkben a https://contacts.google.com/_/SocialPeopleHovercardUi/data/batchexecute kérésre adott válaszként, a jobb oldali panel Response content tabjára navigálva találjuk meg a 21 számjegyű azonosítót, ami a keresett felhasználó userID-ja.

Ha nem annyira penge a számmemóriánk, ezt a számot egyszerűen másoljuk ki egérrelmajd látogassunk el például a Google Maps-re, ahol ugye a felhasználói review-k is vannak.

A https://www.google.com/maps/contrib/ URL-t követően egyszerűen illesszük be a vágólapon lévő azonosítót a böngésző címsorába és már meg is jelenik az összes hely, ahova a felhasználó becheckolt és/vagy értékelte, továbbá azok a képek, amiket ő töltött fel. Amit fontos tudni, hogy az összes csak akkor jelenik meg mind a Reviews, mint pedig a Photos fül alatt, ha a lista végére gördítunk.

google-maps-osint-4

Természetesen nem csak a térképalkalmazást használhatjuk információforrásként, ellátogathatunk a Google más szolgáltatásaiba is, ahol rendszerint nem szükséges ennél bonyolultabb trükk, a felhasználó nevére kattintva előtűnik még, hogy milyen szolgáltatásban mennyire volt aktív, innentől pedig már tényleg csak egy lépés ellátogatni az adott szolgáltatásba, majd megnézni, hogy ott milyen nyomokat hagyott maga után.

google-felhasznaloi-aktivitas-osint-5

Ez persze nem feltétlenül működik döglött Google-szolgáltatások esetén, viszont ha például a már inaktív Google Answers szolgáltatásba keresnénk, minden további nélkül használhatjuk a inurl:answers.google.com operátorral a felhasználó nevét, felhasználónevét vagy azonosítóját.

Nem lehet elégszer hangsúlyozni, hogy a kutatásnak mindig célirányosnak kell lennie – jelen esetben kellően aktív felhasználót választottunk – intuitív adja magát a kérdés, hogy miért jó valakinek, ha gyakorlatilag ráköti az agyára az internet patásördögének kikiáltott szolgáltatását, a Google-t, aztán megoszt mindent. Nem tárgya a cikknek, de alighanem egész egyszerűen nem is tudja, hogy amit feltölt, gyakorlatilag korlátozás nélkül megjeleníthető, esetleg egy felhasználó véletlenül tölt osztott mappába olyan fotó vagy videós tartalmat, amit rosszabb esetben tényleg mindeképp célszerűbb lett volna mondjuk a négy fal közt hagyni 🙂

google-fotok-osintGDPR ide, GDPR oda, szolgáltatásokban folyamatosan throttle-olt API-k ide vagy oda, mindig meg lehet találni a módját számunkra új módszereknek vagy módszerek kombinációjának, amik a nyílt forrású információszerzést segítik. Ez különösen fontos, ha azt nézzük, hogy az etikus hekkelés területén az első lépés mindig annak feltérképezése, hogy mit is kellene támadni és hogyan, amiben persze nem csak szigorúan véve az informatikai infrastruktúra jellemzőinek ismerete játszhat kulcs szerepet, hanem a social engineering előkészítésekor bizonyos kulcs személyekkel kapcsolatos információk is.

Etikus hekkelést tanulnál? A NetAcademia oldaláról nem tűntek el, csak kissé elbújtak. A korábbi ethical hacking tanfolyamok elérhetők a Tanfolyamkereső NetAcademia almenüje alatt a Classic választékban keresve. OSINTológia tanfolyam legközelebb? Előre láthatóan az is!