滚动
财经>财经要闻

Google问题跟踪器漏洞:漏洞让任何人都可以访问敏感漏洞

2019-08-25

Google问题跟踪器漏洞:漏洞让任何人都可以访问敏感漏洞

Google
谷歌的问题跟踪器暂时可供任何人使用简单的漏洞进行访问。 照片:422737 / EPS

谷歌内部错误报告系统中的许多安全漏洞允许 ,揭示了公司产品和服务中最严重和最严重的漏洞。

安全研究员Alex Birsan首先了这些缺陷,他发现他可以成功访问谷歌的另外称为“Buganizer” - 并查看谷歌自己软件中发现的报告问题和问题。

虽然可以公开访问Issue Tracker,但普通用户可以获得的信息非常少。 它显示已报告或分配给用户的报告错误和安全漏洞,以解决典型Google用户可能没有参与的问题。

然而,通过欺骗谷歌公司电子邮件地址的简单伎俩,比尔森能够更深入地了解谷歌问题监控服务的活动,该公司电子邮件地址能够显着更多地访问由搜索巨头跟踪和修复的错误。

该方法揭示了成千上万的错误报告,包括那些标记为“优先级为零”的报告 - 尚未解决的最严重和最危险的漏洞,使得安全漏洞成熟,滥用是他们落入坏人之手。

安全公司的计算机安全研究员Craig Young告诉国际商业时报,“在知名科技公司中使用的虫子追踪器对于希望提高其零日能力的攻击者来说可能是一个非常有利可图的目标。”

“访问私人错误跟踪器可以让攻击者花时间制作漏洞利用程序以及在公共安全社区有机会之前找到相关漏洞,”Young解释道。

Birsan在博客文章中指出,攻击者可以通过简单地将他们的电子邮件地址更改为任何地址(包括使用@ google.com域名的Google公司帐户,创建虚假帐户而不是验证帐户)来利用此漏洞。 通过选择不验证,用户可以更改帐户名称(包括域名)而不受限制,允许他们使用@ google.com公司域。

托管在Google公司域中的电子邮件地址不提供对公司内部网络或服务器的直接访问,但确实授予了对事件跟踪器的更多访问权限,因为该平台将其注册为员工并提供了提升权限。

一旦Birsan有权访问,他就能够阅读任何错误报告,发送请求并与平台上的其他报告进行交互。 “我可以在一次请求中泄露有关多张票的数据,因此实时监控所有内部活动可能不会触发任何限速器,”他写道。

Birsan向谷歌报告了这个问题,该公司迅速撤销了他的访问权限并修复了允许他或任何其他攻击者作为雇员构成的漏洞。 “我们很欣赏亚历克斯的报告,”谷歌发言人谈到了这一情况。“我们已经修补了他报告的漏洞以及他们的变种。”

Tripwire的年轻人建议处理敏感漏洞内容的组织“需要尽可能严格限制这些数据,而不会对开发和测试团队造成不应有的负担。”他建议为安全和非安全报告创建一个单独的错误跟踪器,以便安全可以更严密地监控相关问题。


载入中...

责任编辑:祝坂