WWWhat's new

Una vulnerabilidad en Google Fotos habría posibilitado conocer el historial de ubicaciones

GoogleFotos

La versión web del popular servicio de alojamiento de fotos y vídeos de Google, Google Fotos, ha contado con una vulnerabilidad, ahora parcheada, que habría posibilitado a los atacantes conocer las ubicaciones donde hayan estado los usuarios afectados.

La vulnerabilidad se aprovechada de la función de búsquedas que, gracias a los metadatos que se generan y se guardan automáticamente con las fotos en el propio servicio, facilita las búsquedas de fotos que tengan alojados en base a aspectos como localizaciones, horas, fechas u objetos detectados en las propias fotos, entre otros aspectos.

Como señalan desde la firma de seguridad Imperva, descubridora de la vulnerabilidad:

el motor de búsqueda de Google Fotos tiene en cuenta los metadatos de las fotos. Entonces, al agregar una fecha a la consulta de búsqueda, pude verificar si la foto se tomó en un rango de tiempo específico. Al repetir este proceso con diferentes rangos de tiempo, podría aproximar rápidamente el tiempo de la visita a un lugar o país específico

Para llegar a realizarse ataques exitosos, los usuarios deberían ser engañados por diversas vías para visitar sitios web maliciosos mientras mantengan Google Fotos abierto. Es por esta cuestión por lo que esta vulnerabilidad no habría podido ser aprovechada en gran escala.

Según la firma de seguridad, una vez en el sitio malicioso:

El código JavaScript generará silenciosamente las solicitudes al punto final de búsqueda de Google Fotos, extrayendo las respuestas booleanas a cualquier consulta que el atacante desee.

Como decimos, se trata de una vulnerabilidad que ya ha sido completamente solventada por la propia Google, por lo que ya no existe el riesgo de que los atacantes puedan conocer el historial de ubicación de los usuarios.

Salir de la versión móvil