Μία ευπάθεια στο Google Photos, που ανακαλύφθηκε από την Imperva, μια εταιρεία λογισμικού για την ασφάλεια στον κυβερνοχώρο, επιτρέπει στους hackers να παρακολουθήσουν το ιστορικό τοποθεσίας σας και μαζί με αυτό και όποιου έχετε επισημάνει στις φωτογραφίες σας.
Η Google έχει διορθώσει το ελάττωμα στην πιο πρόσφατη έκδοση του προγράμματος περιήγησης , Chrome 72, καθώς και σε συσκευές που χρησιμοποιούν Android 7.0 ή νεότερη έκδοση.
Ο ερευνητής του Imperva, Ron Masas, διαπίστωσε για πρώτη φορά την ευπάθεια στο web version του Google Photos, η οποία επέτρεπε σε κακόβουλα sites να εκθέτουν πού, πότε και με ποιόν είστε στις φωτογραφίες σας.
Το πρόβλημα εντοπίζεται στον τρόπο με τον οποίο λειτουργεί το Google Photos. Η υπηρεσία, χρησιμοποιεί μεταδεδομένα μιας φωτογραφίας για την παροχή πληροφοριών, όπως γεωγραφική τοποθεσία, ημερομηνία και άλλα. Χρησιμοποιεί επίσης την τεχνολογία τεχνητής νοημοσύνης της Google, για τον εντοπισμό αντικειμένων στη φωτογραφία καθώς και την αυτόματη προσθήκη ετικετών στα άτομα που βρίσκονται στη φωτογραφία, πληροφορίες που οι χρήστες μπορούν να χρησιμοποιήσουν, για να κάνουν λεπτομερείς αναζητήσεις, εάν το επιθυμούν.
Εκτός από τους χρήστες όμως, κακόβουλοι ιστότοποι, μπορούν επίσης να χρησιμοποιήσουν αυτό το χαρακτηριστικό, μέσω επιθέσεων που βασίζονται στο προγράμματα περιήγησης.
Για να πραγματοποιηθεί αυτό, ένας χρήστης θα πρέπει να κάνει κλικ στον σύνδεσμο ενός κακόβουλου ιστότοπου, ενώ είναι συνδεδεμένος στο Google Photos. Ένας κακόβουλος σύνδεσμος αποστέλλεται μέσω άμεσου μηνύματος σε μια εφαρμογή συνομιλίας ή ηλεκτρονικού ταχυδρομείου, καθώς και μέσω κακόβουλου Javascript μέσω μιας διαφήμισης.
Φυσικά αυτό προϋποθέτει ότι ο χρήστης θα πρέπει να ανοίξει τον κακόβουλο σύνδεσμο, πράγμα το οποίο δεν είναι και πολύ πιθανό να συμβεί.
Δεν είναι η πρώτη φορά που ο Masas έχει εντοπίσει μια τέτοια επίθεση.
Προηγουμένως είχε ανακαλύψει μία επίθεση side-channel στο Facebook Messenger, που θα έδινε στους επιτιθέμενους τη δυνατότητα, να δουν τις επαφές με τις οποίες οι χρήστες είχαν ανταλλάξει πρόσφατα μηνύματα.
