Beberapa waktu yang lalu saya melaporkan kerentanan pada situs social media dimana situs ini memikiki kerentanan Metadata Disclosure. Metadata Disclosure adalah kerentanan dimana informasi terstruktur yang mendeskripsikan, menjelaskan, sesuatu dapat dilihat oleh semua user. Tidak semua metadata disclosure adalah bug kalian harus bisa membuat impact yang nyata dari temuan kalian. Pemanfaatan Metadata disclosure sendiri beragam tergantung apa informasi yang didapatkan. Oke mungkin lebih enak jika langsung kita praktikan saja.
Kronologi
Saya mendapati profil page pada sebuah website dimana terdapat foto dan informasi user dari aplikasi tersebut. Mungkin karna situsnya tidak boleh dipublikasi saya ganti aja dengan localhost (intinya sama aja) karna tidak ada bug yang saya temukan, saya mencoba mendownload foto tersebut dan melihat apakah informasi yang ada dalam foto tersebut dapat kita lihat. setelah saya melakukan pembacaan metadata dengan exif, saya mendapatkan tag geolocation pada foto tersebut. Karna saya melakukan pentest pada situs sosial media saya memutuskan untuk mengirimkan foto dengan messenger dari platform tersebut. Hasilnya lagi lagi saya mendapatkan tag geolocation pada metadata foto.
Impact
Penyerang dapat mengetahui lokasi user yang sebenarnya (itupun jika user mengaktifkan geolocationnya)
Exploitasi
1. Install exif terlebih dahulu
sudo apt install libimage-exiftool-perl2.Upload foto kamu yang memiliki tag geolocation
3.Download foto kamu tadi
4.Buka terminal dan masuk pada directory tempat kamu simpan foto hasil download
5.Baca exif data dengan command
exiftool namafile.jpg
Ingat baik baik, ada beberapa platform yang menganggap ini bukan bug jadi jangan terlalu berharap.
Referensi: EXIF Geolocation Data Not Stripped From Uploaded Images