Une faille dans Google Photos permettait d'accéder en clair à votre historique de géolocalisation

22 mars 2019 à 15h52
0
Google Photos
BigTunaOnline / Shutterstock.com

Une vulnérabilité découverte par un expert en sécurité permettait à des personnes mal intentionnées d'accéder à certaines données utilisateurs depuis Google Photos.

Le problème a depuis été résolu.

La localisation liée à un temps d'affichage

Un expert en sécurité de l'entreprise Imperva a réussi à se servir du moteur de recherche de Google Photos pour trouver la localisation d'un utilisateur, mais aussi des personnes présentes sur les photos. Ces informations sont cachées dans les métadonnées d'un fichier image.

Pour trouver la faille, il s'est servi du moteur de recherche de la version web de Google Photos afin de trouver des images selon un lieu ou une date de prise de vue. Google Photos propose une recherche rapide et pertinente car la plateforme va chercher les informations dans les métadonnées des photos. Ron Masas, l'expert en sécurité a expliqué qu'il avait « utilisé la balise de lien HTML pour lancer plusieurs requêtes dans le moteur de recherche de Google Photos, et mesuré le temps qu'il fallait pour charger les images ».

Il a ensuite établi le temps nécessaire pour afficher « zéro image », c'est à dire des recherches ne menant à aucun résultat. Il a pu ensuite, en relançant des requêtes identiques et en exploitant la faille, déterminer en fonction du temps de réponse la localisation d'un utilisateur sur une image.

Une faille corrigée dès janvier

La démarche pour pouvoir accéder aux données de localisation de Google Photos reste assez complexe et il est possible de voir le détail sur un article de blog d'Imperva.

Google a corrigé le problème en janvier, avant qu'Imperva ne sorte son article. Il faut toutefois mettre à jour le navigateur Chrome pour profiter de ce correctif.
0
0
Partager l'article :

Les actualités récentes les plus commentées

La centrale nucléaire de Fessenheim va cesser définitivement ses activités cette nuit
Convention citoyenne pour le climat : Macron promet 15 milliards d'euros et des réponses
Amazon : des hackers auraient réussi à contourner la double authentification
Vraiment efficace le toit solaire de Tesla ? Une famille fait le bilan après trois mois d'utilisation
Les émissions de CO2 dues à l'automobile ont encore augmenté en 2019, la faute aux SUV
Aux États-Unis, la mortalité des abeilles depuis un an est inquiétante
District 9 : ce que la SF doit à la réalité
L’iPhone 12, livré sans chargeur ni écouteurs ?
Pour Steve Sinofsky, ex boss de Windows, le Mac sous ARM sera
Reddit bannit un forum pro-Trump, accusé de promouvoir la haine, Twitch suspend sa chaîne
scroll top