2017. december 11., hétfő

Gyorskeresés

Útvonal

Hírek » Biztonság rovat

Kínos biztonsági baki a Google-nál

  • (f)
  • (p)
Írta: | | Forrás: IT café

Egy olyan adatbázisban találtak sebezhetőségeket, ahová a szakemberek a világ minden részéről feltöltik a feltárt sebezhetőségeket.

A Google hibavadász rendszerének fontos eleme az Issue Tracker („Buganizer”) szolgáltatás, melyet arra találtak ki, hogy a szakértők, hibavadászok ezen keresztül jelentsék, ha hibákat, sebezhetőségeket, biztonsági réseket találtak a Google termékeiben, szoftvereiben vagy szolgáltatásaiban. Ám egy kutató, Alex Birsan épp ebben a rendszerben talált olyan hiányosságokat, melyeket kihasználva a felhasználók nemcsak a szokásos korlátozott hozzáféréshez juthatnak hozzá, hanem megismerhetik az összes biztonsági riportot és leírást.

Hirde​t​és​

Az átlagfelhasználó minimális szinten fér hozzá a trackerhez, de Birsan felfedezte, van arra mód, hogy bejusson a back-end részre is, így sok ezernyi riportot ismerhet meg, köztük olyanokat is, melyeket a „priority zero” címkével láttak el, vagyis a legveszélyesebbnek tartott hibák jelentéseihez is. Könnyen belátható, hogy egy rossz szándékú támadó – ha még a javítás elkészülte előtt megismeri ezeket – roppant értékes információkhoz juthat hozzá, és felmérhetetlen károkat okozhat rövid időn belül – sőt, akár a Google belső hálózatához is hozzáférhet, ami beláthatatlan következményekkel járhat.

A behatolás és a felfedezés lényege, hogy Birsan egy általa létrehozott Gmail-fiókkal azonosította magát a rendszerben, majd ezt az e-mail címet képes volt átalakítani, behelyettesíteni bármilyen címre, pl. a Google vállalati címeire is. Ezzel még nem kapott közvetlen hozzáférést a belső hálózathoz, de arra elég volt, hogy elhitesse a tracker szolgáltatással, hogy ő valójában egy Google-alkalmazott, így magasabb szintű hozzáférést kapott az Issue Trackerben, és ezek után gond nélkül megismerhette a legkockázatosabbnak tartott hibák részletes leírását is, ráadásul meg tudta volna oldani, hogy valós időben lásson bele a belső hálózati tevékenységbe, a folyamatosan érkező adatokba.

A kutató jelentette a hibákat, melyeket a Google egy órán belül javított, majd a három rés bejelentéséért 15 600 dollárt fizettek a szakembernek, a vállalat szóvivője pedig közölte, hogy hálásak neki az etikus viselkedéséért és a hibajelentésért.

Gyártók, szolgáltatók

Copyright © 2000-2017 PROHARDVER Informatikai Kft.