Google Photos含有可洩露拍照時間與地點的臭蟲

Imperva的安全研究人員Ron Masas最近揭露了Google Photos服務的臭蟲，指出該臭蟲將允許第三方惡意網站汲取Google Photos用戶所存放的照片資訊，包括拍照時間、地點或對象等。

整合了人工智慧能力的Google Photos可利用照片的元資源替照片加上標籤，包括地理坐標或日期等；還能自動以文字描述照片，或是偵測照片中的物件與活動；另也具備了人臉辨識能力以判斷照片中的人物。

Masas則找到了可讓第三方網站透過旁路攻擊擷取上述資料的方法，他說Google Photos的搜尋終端容易受到基於瀏覽器的時序攻擊（timing attack），或稱跨站搜尋（Cross-Site Search）攻擊。

駭客只要誘導使用者造訪惡意網站，令他們同時登入Google Photos，就能向Google Photos的搜尋終端送出多種搜尋請求，先找到結果為零的回應時間作為基準線，再與其它的查詢進行比較，以用來推斷使用者是否曾造訪某地。例如Masas查詢了「我在冰島的照片」，假設回應時間比基準線還久，可判斷該使用者應曾到過冰島，也能在查詢字串中加入日期，重覆測試不同的時間點，即可得知該使用者在大約什麼時候去過冰島。

其實這類的攻擊行動有些繁瑣，因此並不普及，但Masas認為基於瀏覽器的旁路攻擊行動一直被忽視，迄今大概只有Google或臉書等大型科技業者會把它當作一回事，大多數的業者並未意識到它的風險。在Masas發文的當時，Google也已修補了此一臭蟲。