Google Fotos es uno de los servicios de Google más utilizados, gracias sobre todo a que permite sincronizar todas nuestras fotos gratis sin límite de espacio; siempre y cuando nos limitemos a 16 MP y vídeos a 1080p 30 FPS. Por ello, la aparición de una vulnerabilidad en este servicio puede poner en peligro nuestra privacidad, como la que ha estado durante un tiempo operando en la plataforma.

El sistema de búsqueda de Google Fotos ha podido jugar en nuestra contra

Google Fotos cuenta con un sistema avanzado de IA que reconoce dónde hemos hecho las fotos, incluso si no hay metadatos en ellas. Para ello utiliza diversa información, como la ubicación de nuestro móvil o directamente el reconocimiento por IA de la ubicación que puede describir las fotos que está viendo y ubicarlas automáticamente en función de otros sitios que ya tenga aprendidos. Además, en Estados Unidos también puede reconocer caras.

Gracias a este sistema, es posible buscar “Fotos de Berlín en las que salgo yo en 2018” (al menos en la versión estadounidense), mientras que en la española podemos buscar fotos en función de la ubicación, así como contenido detectado de manera inteligente, tal como “atardecer” o similares.

Es esta función de búsqueda la que ha sido vulnerable desde no se sabe cuando a lo que se conoce como un Cross-Site Search (XS-Search). Para ello, su creador midió el tiempo que tardaba Fotos en gestionar cada solicitud, pudiendo saber cuándo una búsqueda iba a ofrecer cero resultados. Gracias a ello, se podían realizar peticiones tales como “fotos de Islandia”. Si aparecían resultados, se podía saber mediante el tiempo que tardaba en aparecer la búsqueda, y significaba que esa persona había viajado a Islandia.

Google ya ha parcheado el fallo, pero otros muchos servicios están afectados

Además, es posible añadir también una identificación temporal, como “fotos de Islandia en enero de 2019”, y así poder saber cuándo viajó esa persona a tal destino. Haciendo miles de estas búsquedas, se puede saber dónde ha viajado una persona y en qué momento lo ha hecho.

Acceder a esta información es relativamente sencillo para una página web externa. Para ello, solo es necesario cargar un JavaScript en el navegador, y que el usuario acceda a esa página web a la vez que esté logueado en Google Fotos. A partir de ahí, el JavaScript se ejecuta de manera silenciosa, y puede ir almacenando las peticiones.

Por suerte, Google ya ha parcheado el fallo, pero no deja de ser preocupante que este tipo de ataques a nivel de navegador se puedan hacer con relativa facilidad. Google y Facebook son las que más se están poniendo las pilas (Facebook parcheó un fallo similar hace un mes), pero otros servicios están muy por detrás; y algunos de ellos ni siquiera se han enterado de la existencia de este tipo de ataques. Por ejemplo, Dropbox o Twitter podrían ser susceptibles de este tipo de ataques.