Eine mittlerweile geschlossene Sicherheitslücke in Google Fotos hatte Hackern erlaubt Einsicht in euren Standortverlauf zu erlangen. Das Problem war hier die Web-Version von Google Fotos, bei der eine Schwachstelle es möglich machte, an private Daten zu gelangen. Die Krux war hier die Verknüpfung mit der Suchfunktion nach etwa Datum und den Orten, an denen die Fotos aufgenommen wurden.

Ganz so einfach war das Procedere zur Ausnutzung aber auch wieder nicht: Bevor Dritte womöglich euren Standortverlauf bei Google Fotos ausspionieren konnten, mussten sie euch nämlich erst einmal auf eine Website mit Schadsoftware locken. Wer dann parallel auch bei Google Fotos eingeloggt gewesen ist, konnte in die Falle tappen. Umsichtigen Nutzern dürfte das glücklicherweise also nicht ganz so leicht widerfahren.

Bei Betroffenen konnten die Angreifer aber nicht nur die Orte erkennen, an denen die Fotos aufgenommen wurden, sondern auch die Daten und Informationen zu getaggten Personen. Es handelte sich hier um einen Cross-Site Search (XS-Search) Angriff. Eine detaillierte Beschreibung der Methode könnt ihr hier nachlesen.

Google hat die Sicherheitslücke mittlerweile geschlossen, derartige Angriffe sind also aktuell nicht mehr auf Google Fotos möglich. Ob die Schwachstelle durch Dritte jemals ausgenutzt wurde, ist offen. Ein Sicherheitsforscher hatte die Lücke dokumentiert und Google mitgeteilt. Dort wurde offenbar relativ zügig reagiert.