Nándor
9 °C
20 °C

Néha úgy érzed, mintha két valóság létezne?

Több infó

Támogasd a független újságírást, támogasd az Indexet!

Nincs másik olyan, nagy elérésű online közéleti médiatermék, mint az Index, amely független, kiegyensúlyozott hírszolgáltatásra és a valóság minél sokoldalúbb bemutatására törekszik. Ha azt szeretnéd, hogy még sokáig veled legyünk, akkor támogass minket!

Milyen rendszerességgel szeretnél támogatni minket?

Mekkora összeget tudsz erre szánni?

Mekkora összeget tudsz erre szánni?

Ez a hiba 15 ezer dollárba került a Google-nek

2017.10.31. 09:59

A Google hibavadász rendszerének fontos eleme az Issue Tracker szolgáltatás. A szakértők és hibavadászok ezen keresztül jelenthetik, ha hibákat, sebezhetőségeket és biztonsági réseket találtak a Google termékeiben, szoftvereiben vagy szolgáltatásaiban.

Egy kutató, Alex Birsan ebben a rendszerben talált olyan hiányosságokat, amiket kihasználva a hekkerek nemcsak a szokásos korlátozott hozzáféréshez juthatnak hozzá, hanem megismerhetik az összes biztonsági riportot és leírást.

Az átlagfelhasználó minimális szinten fér hozzá a trackerhez, de Birsan felfedezte, hogy be lehet jutni a back-end részre is, és így sok ezernyi riportot ismerhet meg, köztük olyanokat is, melyeket a „priority zero” címkével láttak el – vagyis a legveszélyesebbnek tartott hibák jelentéseihez is. Ha egy rossz szándékú támadó még a javítás előtt megismeri ezeket, értékes információkhoz juthat. Ezzel épp úgy felmérhetetlen károkat okozhat, mint azzal, ha hozzáfér a Google belső hálózatához.

Birsan egy általa létrehozott Gmail-fiókkal azonosította magát a rendszerben. Az emailcímet képes volt átalakítani és behelyettesíteni bármilyen címre, például a Google vállalati címeire is. Ezzel még nem kapott közvetlen hozzáférést a belső hálózathoz, de arra elég volt, hogy elhitesse a trackerrel, hogy ő egy Google-alkalmazott. Így magasabb szintű hozzáférést kapott az Issue Trackerben, és megismerhette a legkockázatosabbnak tartott hibák részletes leírását. Azt is megoldotta, hogy valós időben lásson bele a belső hálózati tevékenységbe.

A kutató jelentette a hibákat, amiket a Google egy órán belül javított. A három biztonsági rés bejelentéséért 15 600 dollárt fizettek Birsannek, és megköszönték az etikus viselkedést és a hibajelentést.

(IT Café)