Google Foto: una falla permetteva di accedere alla posizione dell'utente

Fortunatamente è già stata risolta, ma una falla di sicurezza che ha afflitto Google Foto, potenzialmente dal suo lancio, potrebbe aver esposto la cronologia della posizione degli utenti grazie ad un cosiddetto canale laterale. Ad esporre il problema è stato Ron Masas, esperto di sicurezza informatica presso Imperva.

Una persona a conoscenza della falla avrebbe potuto risalire alla posizione, attuale o meno, di un utente semplicemente facendogli aprire una pagina web (da browser con account Google loggato). Semplificando, l'attacco side-channel in questione andava a "chiedere" a Google Foto se l'utente aveva foto realizzate in una certa zona (nazione, città...) e quando queste erano state scattate.

A quanto pare, una volta capito come, ricavare questo tipo di dati era relativamente semplice anche se non si parla di una vera e propria falla, ma piuttosto un comportamento anomalo del sistema di ricerca su Google Foto. Il tutto è già stato fortunatamente risolto e vista la complessità del meccanismo è improbabile che qualcuno ne abbia approfittato.

Tuttavia Ron Masas ci ha tenuto a dire che questo tipo di attacchi sono spesso sottovalutati poiché appunto non riguardano direttamente il codice, ma piuttosto la progettazione di un servizio/prodotto. Meno male ci sono persone come lui che vigilano!