Un expert en sécurité s'est servi du moteur de recherche de Google Photos pour trouver la localisation d'un utilisateur et des personnes présentes sur des clichés. Google a corrigé la faille mais il faut mettre à jour Chrome pour être protégé.


au sommaire


    Une fois de plus, c'est grâce à des chercheurs en sécurité qu'une faille a été découverte, et cette fois, elle touche GoogleGoogle, et plus précisément le service Google Photos sur lequel sont stockés des millions, voire des milliards, de clichés des utilisateurs d'Android et de Google.

    C'est le personnel d'Imperva qui a identifié et testé une faille qui permettait à un pirate de localiser un possesseur de compte Google mais aussi les personnes identifiées sur les photos. Tout cela est caché dans les métadonnées d'un fichier image, et un expert en sécurité explique comment il est parvenu à s'immiscer dans ces données.

    Un temps d'affichage lié à chaque lieu de recherche

    Au départ, il a utilisé le moteur de recherche de Google Photos qui, selon lui, est rapide et pertinent pour retrouver des photos selon un lieu ou une date de prise de vue. Justement parce qu'il cherche dans les métadonnées des photos. Ron Masa a lancé plusieurs recherches, et il a chronométré le temps de réponse pour afficher les images. Ensuite, il a effectué des recherches qui ne menaient à aucun résultat. Puis, en exploitant la faille par cross-site search (XS-Search), il a lancé les requêtes identiques sur des comptes tiers.

    Chronomètre en main, il lui a suffi alors de lancer les mêmes recherches, et le temps d'accès lui permettait alors de savoir si tel ou tel utilisateur était en Italie ou en France. C'est un travail de fourmifourmi que des pirates pouvaient exploiter au travers de cette faille et ainsi lancer des routines automatiques. On emploie l'imparfait car Google a expliqué que cette faille avait été corrigée dès janvier. Mais, attention, elle est encore exploitable pour ceux qui n'ont pas mis à jour Chrome. Il est donc impératif de mettre à jour le navigateur Chrome sur ordinateur et smartphone pour éviter qu'un pirate ne s'immisce dans les données cachées de vos clichés, et puisse savoir exactement où vous vous trouvez...