Hacker e terzi avrebbero potuto tracciare la posizione delle foto salvate su Google Foto. Tutto per colpa di un bug individuato dal ricercatore di sicurezza Ron Masas di Imperva, che ha scoperto come con un attacco via browser sarebbe stato possibile violare l’account cloud e lanciare una minaccia del tipo Cross-Site Search.
Nella mia dimostrazione ho utilizzato un tag con link html per creare più richieste di origine incrociata verso l’endpoint di ricerca di Google Foto: utilizzando JavaScript, ho misurato la quantità di tempo impiegata per l’evento onload da attivare – ha detto Masas – successivamente ho programmato la seguente query “foto di me dall’Islanda” e ho confrontato il risultato con la linea di base. Se il tempo di ricerca ha richiesto più tempo rispetto alla linea di base, potrei supporre che la query abbia restituito risultati e quindi dedurre che l’utente corrente ha visitato l’Islanda.
Questo perché il motore di ricerca di Google Foto prende in considerazione i metadati delle immagini, quindi aggiungendo una data alla query di ricerca, si potrebbe verificare se il contenuto è stato scattato in un intervallo di tempo specifico. Si potrebbe così approssimare rapidamente il tempo della visita in un determinato luogo o paese. Sembrano un lavoro laborioso per un hacker, e probabilmente lo è, ma è quando cominciamo a non preoccuparci più della nostra privacy che la riservatezza perde valore.
Per fortuna, Google ha già tappato la vulnerabilità. Il difetto è indicativo di come il potenziale per gli attacchi XS Search e le falle che li facilitano non ottengano sufficiente attenzione. Masas ha osservato che un approccio al canale laterale basato su browser è stato trovato anche nella versione web di Messenger e avrebbe potuto consentire il mapping delle comunicazioni tra gli account di Facebook.