Kínos biztonsági baki a Google-nál

Egy olyan adatbázisban találtak sebezhetőségeket, ahová a szakemberek a világ minden részéről feltöltik a feltárt sebezhetőségeket.

Írta: Dajkó Pál
Forrás: IT café
2017-10-30 17:20

A Google hibavadász rendszerének fontos eleme az Issue Tracker („Buganizer”) szolgáltatás, melyet arra találtak ki, hogy a szakértők, hibavadászok ezen keresztül jelentsék, ha hibákat, sebezhetőségeket, biztonsági réseket találtak a Google termékeiben, szoftvereiben vagy szolgáltatásaiban. Ám egy kutató, Alex Birsan épp ebben a rendszerben talált olyan hiányosságokat, melyeket kihasználva a felhasználók nemcsak a szokásos korlátozott hozzáféréshez juthatnak hozzá, hanem megismerhetik az összes biztonsági riportot és leírást.

Az átlagfelhasználó minimális szinten fér hozzá a trackerhez, de Birsan felfedezte, van arra mód, hogy bejusson a back-end részre is, így sok ezernyi riportot ismerhet meg, köztük olyanokat is, melyeket a „priority zero” címkével láttak el, vagyis a legveszélyesebbnek tartott hibák jelentéseihez is. Könnyen belátható, hogy egy rossz szándékú támadó – ha még a javítás elkészülte előtt megismeri ezeket – roppant értékes információkhoz juthat hozzá, és felmérhetetlen károkat okozhat rövid időn belül – sőt, akár a Google belső hálózatához is hozzáférhet, ami beláthatatlan következményekkel járhat.

A behatolás és a felfedezés lényege, hogy Birsan egy általa létrehozott Gmail-fiókkal azonosította magát a rendszerben, majd ezt az e-mail címet képes volt átalakítani, behelyettesíteni bármilyen címre, pl. a Google vállalati címeire is. Ezzel még nem kapott közvetlen hozzáférést a belső hálózathoz, de arra elég volt, hogy elhitesse a tracker szolgáltatással, hogy ő valójában egy Google-alkalmazott, így magasabb szintű hozzáférést kapott az Issue Trackerben, és ezek után gond nélkül megismerhette a legkockázatosabbnak tartott hibák részletes leírását is, ráadásul meg tudta volna oldani, hogy valós időben lásson bele a belső hálózati tevékenységbe, a folyamatosan érkező adatokba.

A kutató jelentette a hibákat, melyeket a Google egy órán belül javított, majd a három rés bejelentéséért 15 600 dollárt fizettek a szakembernek, a vállalat szóvivője pedig közölte, hogy hálásak neki az etikus viselkedéséért és a hibajelentésért.

Hozzászólások (39)

Kapcsolódó cégek:
Google

Azóta történt

A Google visszavonja egy biztonsági eszköz támogatását

Maguk a szabvány készítői ismerték el, hogy a mechanizmus túl nehézkes használni, illetve sok ponton sebezhető.

Biztonság 2017-10-31 24
Rendkívüli javítást adott ki az Oracle, még ma frissítsen!

A gyorsaságból ítélve és a hivatalos közleményre hagyatkozva a legmagasabb szintű biztonsági résről lehet szó.

Biztonság 2017-10-31 17
A Google elismerte, hogy titokban gyűjtött adatokat az Android

A földrajzi információk háttérben történő rögzítése nem eszközfüggő: az összes androidos készüléket érinti.

Szoftver 2017-11-22 119
Nehezebb lesz pénzt keresni a YouTube-on

A szigorítások életbe léptetése rossz hír a kisebb látogatottságú csatornák üzemeltetőinek, akik többségükben eleshetnek az eddigi reklámbevételektől.

Közösségi média 2018-01-17 55

Előzmények

A Google és a Facebook felkerült a NAV feketelistájára

Ha lassan is, de fokozatosan, lépésről lépésre halad előre az a folyamat, mely a vállalatok reklámbevételeinek megadóztatását tűzte ki célul.

Mérleg 2017-10-21 127
Apró hiba a Google-nál, erre fél Japánban elment az internet

Egy újabb példa támasztja alá a szakemberek régóta hangoztatott vélekedését, hogy az internet alapszerkezete elavult.

Távközlés 2017-08-28 22
Tízezer dollár egy diáknak egy sebezhetőség bejelentéséért

Minden mintaszerűen történt: a fiú jelentette a hibát, a mérnökök megoldották, majd kifizették a megérdemelt jutalmat.

Biztonság 2017-08-18 48
Adathalász támadást fékezett meg a Google

A támadó program rekordsebességgel fertőzte meg a fiókokat, így nem árt néhány biztonsági intézkedés.

Biztonság 2017-05-04 4