Posté le mars 22, 2019 à 19:37
GOOGLE PHOTOS PERMETTENT AUX PIRATES DE VOUS TRAQUER ET VOS AMIS
Une faille, maintenant corrigée, permettait aux sites Web contenant du code malveillant de suivre et d’exposer où, quand et avec qui vos photos ont été prises. C’est effrayant, vu le nombre de photos qu’on prend. Toute personne ayant accès à vos photos peut facilement créer un faux profil de vous et de vos amis.
Généralités sur le sujet
Google a remarqué que les gens prenaient beaucoup plus de photos que jamais auparavant, en particulier avec leurs smartphones. C’est pourquoi ils se sont concentrés sur l’amélioration de leur application Photos à la manière traditionnelle de Google… Search (et IA)!
Au lieu de laisser à l’utilisateur le soin de classer et de sauvegarder les images, Google a facilité la recherche de tout ce que vous vouliez. Le lieu où vous avez pris une photo, les personnes avec lesquelles vous avez pris une photo et même des sujets contextuels comme les mariages, la plage et les monuments historiques ont tous été déduits des techniques de l’Intelligence Artificielle avancées qui ont scanné vos photos pour trouver des indices sur ce que vous faites.
En plus des métadonnées géolocalisées et d’une multitude d’autres informations enregistrées par les caméras chaque fois que vous prenez une photo, Google vous a permis de trouver facilement toutes les photos dont vous vous souvenez avoir pris (et même certaines que vous auriez pu oublier). Ainsi, en cherchant «Photos de moi et de Jake au Carnaval 2017», vous pouvez obtenir toutes les photos que vous avez prises à cette époque, à cet endroit, avec cette personne.
Alors quel était le problème?
La plupart des gens utilisent Google Photos depuis des années et bon nombre d’entre eux n’étaient jamais vraiment au courant de la puissance des fonctionnalités de recherche. C’est une de ces fonctionnalités que Google vient d’implémenter sans faire trop de publicité.
Certains analystes de la cybersécurité ont intérêt à vérifier les attaques par canaux auxiliaires. Ils n’ont pas mis longtemps à découvrir que le point d’extrémité de recherche de Google Photos est en fait vulnérable à ce qu’on appelle XS-Search, qui est une attaque temporelle par navigateur.
Comment cela fonctionne-t-il?
La vidéo suivante montre comment quelqu’un a pu accéder à l’historique de votre localisation avant que la faille ne soit corrigée. Cependant, même lorsque l’incident était d’actualité, il fallait être sur un site Web avec un code malveillant et se connecter à Google Photos sur le même PC en même temps.
C’était assez facile pour les hackers de vous atteindre en vous envoyant un message direct sur les services de messagerie populaires ou en incluant du Javascript malveillant dans une publicité Web.
La première ligne de la vidéo représente la ligne de base des résultats du chronométrage des pages vides. Chaque fois que les résultats ne sont pas sur les données de base, cela signifie que le visiteur a visité un pays en particulier.
Que faire alors?
Cela montre à quel point Google est rapide et a pu résoudre cette faille si rapidement, mais il existe toujours un grand nombre de sites Web particulièrement vulnérables aux attaques par canaux auxiliaires. Mais de nombreux petits acteurs du marché ne suivent pas la cadence des gros poissons comme Facebook, Microsoft et bien sûr Google qui rattrapent rapidement leur retard.
Ce qui signifie que vous devez être conscient du problème pour ne pas avoir une mauvaise surprise. De nombreuses personnes se joignent à l’effort de documentation de ces vulnérabilités des canaux auxiliaires, y compris des API DOM vulnérables.
Si vous êtes intéressé, vous trouverez plus d’informations sur le référentiel xsleaks.
