Uluslararası Siber Güvenlik Enstitüsü’nün uzmanları, Google Foto’da kötü niyetli bir aktörün kullanıcıların konumlarının geçmişine erişebileceği güvenlik açığı olduğunu bildirdi. Uzmanlara göre, bir istismar ve az sosyal mühendislik teknikleri kullanarak, kötü niyetli bir web sitesi görüntülerin bir kullanıcının Google Foto’sunda çekildiği yerleri gösterebilir.
Araştırmacılardan biri, etkinliğin etkinleşmesi için geçen süreyi ölçmek üzere Google Foto ve Javascript arama bitiş noktasına birden fazla çapraz kaynak isteği oluşturmak için bir HTML bağlayıcı etiket kullandı, daha sonra sıfır sonuç verecek bir arama sorgusunun referans süresini hesapladı. Araştırmacı daha sonra aşağıdaki sorguyu zamanladı: “İstanbul’dan Fotoğraflarım” ve sonucu taban çizgisine göre karşılaştırdı, böylece arama süresi taban çizgisinden daha uzunsa, sonucun sonucuna varılabileceğini belirterek, bir sitenin şu anki ziyaretçisi İstanbul’daydı.
Çevrimiçi etik korsanlık eğitiminde, arama sorgusuna bir tarih eklediğinizde, fotoğrafın belirli bir zaman diliminde çekilip çekilmediğini kontrol edebileceğiniz; bu işlemi farklı zaman aralıklarında tekrarlayarak, kullanıcının belirli bir yeri, mağazayı veya ülkeyi ziyaret ettiği zaman yaklaşık bir sonuç alabilirsiniz. Uzmanlar, saldırının işlevsel olması için mağdurun Google hesaplarına bağlıyken kötü niyetli bir web sitesi açması gerektiğini , kötü niyetli kodun Google Foto arama son noktası için doğru veya yanlış cevaplar alması için istekler üreteceğini eklemektedir.