BigTunaOnline / Shutterstock.com
Une vulnérabilité découverte par un expert en sécurité permettait à des personnes mal intentionnées d'accéder à certaines données utilisateurs depuis Google Photos.
Le problème a depuis été résolu.
La localisation liée à un temps d'affichage
Un expert en sécurité de l'entreprise Imperva a réussi à se servir du moteur de recherche de Google Photos pour trouver la localisation d'un utilisateur, mais aussi des personnes présentes sur les photos. Ces informations sont cachées dans les métadonnées d'un fichier image.Pour trouver la faille, il s'est servi du moteur de recherche de la version web de Google Photos afin de trouver des images selon un lieu ou une date de prise de vue. Google Photos propose une recherche rapide et pertinente car la plateforme va chercher les informations dans les métadonnées des photos. Ron Masas, l'expert en sécurité a expliqué qu'il avait « utilisé la balise de lien HTML pour lancer plusieurs requêtes dans le moteur de recherche de Google Photos, et mesuré le temps qu'il fallait pour charger les images ».
Il a ensuite établi le temps nécessaire pour afficher « zéro image », c'est à dire des recherches ne menant à aucun résultat. Il a pu ensuite, en relançant des requêtes identiques et en exploitant la faille, déterminer en fonction du temps de réponse la localisation d'un utilisateur sur une image.
Une faille corrigée dès janvier
La démarche pour pouvoir accéder aux données de localisation de Google Photos reste assez complexe et il est possible de voir le détail sur un article de blog d'Imperva.Google a corrigé le problème en janvier, avant qu'Imperva ne sorte son article. Il faut toutefois mettre à jour le navigateur Chrome pour profiter de ce correctif.
