2015/06/28

Os URLs privados/públicos das fotos no Google Photos


O novo Google Photos dá-nos espaço ilimitado e organiza automaticamente as nossas fotos, e vem também com uma prática funcionalidade de partilha de fotos até com quem não seja utilizador do Google. Mas... e se vos disser que mesmo as fotos não partilhadas podem estar disponíveis publicamente na internet... se souberem o seu URL?

A descoberta foi feita por um utilizador do Reddit que ficou preocupado com a perspectiva de todas as suas fotos "privadas" poderem afinal estar acessíveis publicamente. O teste foi simples: foi a uma das suas fotos no Google, abriu a imagem numa nova página, obtendo o seu URL. De seguida, abriu uma sessão incógnita no browser, sem acesso ao seu login no Google, e descobriu que continuava a ter acesso ao URL e a ver a sua foto supostamente privada.

Terá o Google enlouquecido e colocado todas as fotos privadas dos seus utilizadores publicamente na internet? A resposta é um sim e não... mas que pode ser facilmente explicado.

As fotos no Google permanecem completamente privadas para cada utilizador, até ao momento em que os mesmos optam por as partilhar via URL com alguém (o que seria lógico e evidente); mas que também acontece quando um utilizador opta por espreitar o seu URL mesmo que seja sem intenção de partilhar a imagem. A partir desse momento o Google cria um url único para essa imagem, que faz com que a mesma fique para sempre disponível na internet (mesmo que venham a apagar a imagem no futuro).

Exemplo de um URL de uma foto no Google Photos:
  • https://lh3.googleusercontent.com/oi4G9ZBYeNfT88o-N4UxSjXHaFsUS51f6YY94gOXHQZQ=w493-h657-no

Mas isto não significa que devem ficar preocupados. Estes URLs gerados pelo Google consistem em sequências "aleatórias" com 40 caracteres ou mais, que faz com que as hipóteses de alguém conseguir encontrar uma foto por acidente (ou mesmo por tentativas brute-force) sejam praticamente impossíveis. São mais de 10^70 combinações (10 seguido de 70 zeros!) que, para tentar por em termos mais compreensíveis, significa que, mesmo que estivessem a testar 1000 biliões de endereços por segundo, necessitariam de muito mais que a idade estimada do Universo (multiplicada por mais alguns biliões de triliões de quadriliões de vezes) para eventualmente darem com um destes endereços.

Portanto, mesmo que uma das vossas fotos acabe por ficar com um URL público... penso que será melhor preocuparem-se com a possibilidade de alguém conseguir descobrir a vossa password do Google (activem a autenticação 2-factor!) do que descobrirem uma das vossas fotos! :)

3 comentários:

  1. como faço para achar as url das minhas imagens no google fotos para utilizar em meus sites. < imag blabla aquivo.jpg> entendeu. caso tenha como fazer isso me responda.

    ResponderEliminar
  2. Este comentário foi removido por um gestor do blogue.

    ResponderEliminar
  3. Eu quero saber se as fotos que uma pessoa manda no WhatsApp são realmente dele, antes era só clicar no botão direito do mouse copiar a URL e colar no leito de URL do Google mais não consigo fazer isso pelo celular ! É possível ?

    ResponderEliminar