Il bug di Google Foto inerente alla posizione delle foto scattate è stato risolto. Ecco in cosa consisteva.

I servizi offerti da Google sono estremamente interessanti e utili e vengono utilizzati specie in collaborazione con i nostri smartphone, ancora di più se parliamo di smartphone Android. Come per tutti i servizi a volte possono sorgere dei fastidiosi problemi, come bug o vulnerabilità insidiosi, alcuni dei quali possono porgere il fianco ad hacker interessati a entrare in possesso dei nostri dati personali. Google Foto è stato recentemente interessato da una di queste vulnerabilità.

La segnalazione è arrivata proprio in questi giorni da Imperva che si occupa di sicurezza informatica. Il problema è stato rilevato proprio all’interno di Google Foto. Secondo la società di sicurezza informatica un bug all’interno del servizio di Google per salvare foto avrebbe consentito ad hacker e malintenzionati di risalire alla posizione e alla cronologia dei posti in cui l’utente aveva scattato le foto o girato i video. Tutti i dati relativi alla posizione venivano importati sull’applicazione di Google Foto.

Tramite un attacco eseguito da browser  e l’impiego di un sito web malevolo sarebbe stato possibile ingannare l’utente per accedere al servizio di Google avendo poi accesso alle foto e alle relative posizioni.

La stessa Imperva ha riconosciuto che un attacco di questo tipo sarebbe particolarmente complesso da mettere in atto. Probabilmente questa vulnerabilità non è mai stata sfruttata. Ad ogni modo Google aveva già provveduto a risolvere la falla lasciando un aggiornamento mirato, riuscendo a battere anche sul tempo la segnalazione di Imperva.

Ecco la spiegazione dettagliata della vulnerabilità apparsa sul sito: “Per dimostrare il bug, ho utilizzato il tag link HTML per creare più richieste di origine incrociata all’endpoint di ricerca di Google Foto. Usando JavaScript, ho quindi misurato la quantità di tempo necessario per l’evento onload da attivare. Ho usato queste informazioni per calcolare il tempo di base – in questo caso, cronometrare una query di ricerca che so restituirà zero risultati. Successivamente, ho programmato la seguente domanda “foto di me dall’Islanda” e ho confrontato il risultato con la baseline. Se il tempo di ricerca avrebbe richiesto più tempo rispetto alla previsione, posso supporre che la query abbia restituito risultati positivi e quindi dedurre che l’utente corrente abbia visitato l’Islanda … aggiungendo una data alla query di ricerca, posso controllare se la foto è stata scattata in un intervallo di tempo specifico. Ripetendo questo processo con intervalli di tempo diversi, ho potuto approssimare rapidamente il tempo della visita in un luogo o paese specifico”.

Scritto da Michele Bellotti