Après le bug qui poussait récemment Google à désactiver Photos sur les téléviseurs Android, c’est une nouvelle faille qui a récemment été repérée sur le service de stockage de photos du géant américain. L’entreprise de sécurité informatique Imperva a en effet mis le doigt sur une vulnérabilité qui permettait à des personnes mal intentionnées d’accéder à certaines données utilisateurs. Si l’application est habituellement capable de reconnaître le lieu de prise de vue, ainsi que le visage de certaines personnes grâce à son IA intégrée, ces informations sont normalement confidentielles, et seulement visibles par l’utilisateur.
“J’ai utilisé la balise de lien HTML pour lancer plusieurs requêtes dans le moteur de recherche de Google Photos. En utilisant JavaScript, j’ai ensuite mesuré le temps qu’il fallait pour charger les images” – Ron Masas, chercheur Imperva
La marche à suivre pour accéder aux données de localisation de Google Photos est en réalité assez complexe, comme le détaille Imperva sur cet article de blog. Cependant, la faille est suffisamment importante pour permettre à des personnes non autorisées d’obtenir des données sensibles sur les autres utilisateurs, ce qui pouvait poser de sérieux problèmes de sécurité. Rapidement signalé à Google, le bug a heureusement été corrigé dans la foulée par le géant américain.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Heu oui c’est un peu court, déjà le titre est faux puisque le titre de l’article source indique “on peut hacker localisation et visages” un oubli important non ? Ensuite “c’est complexe” pour décrire l’attaque est tres tres peu. Google Photos étant un service privé, l’information la plus utile pour moi était de savoir comment on entre, si on entre ? vise t’on tout le monde a la fois ou passe t’on par un login ? je sais pas c’est a mon sens un peu primordial pour estimer l’importance de la faille, et c’est bien peu d’information à indiquer.
Et bien la réponse est non, il faut avant d’attaquer, leurrer a l’ancienne un contact… c’est à dire l’inciter à aller sur un site malicieux. Donc la faille est une fois de plus bien maigre et part sur l’archi classique attaque sur un faux site, comme tous les autres.
PS: il aurait aussi été bon de rappeler que la france a banni l’usage des visages dans Google Photos, enfin ils ont essayé.