Google heeft een intern platform dat het Google Issue Tracker heet. Daar verzamelt het bedrijf bugs en nog niet opgeloste kwetsbaarheden. Maar nu blijkt dat uitgerekend dit platform een bug had. Een veiligheidsonderzoeker wist daardoor toegang te krijgen tot alle informatie op de lijst.
Dat meldt Motherboard vandaag. De bug maakte het mogelijk om alle onopgeloste bugs in te zien en dat zou ervoor gezorgd kunnen hebben dat hackers misbruik konden maken van de kwetsbaarheden. Google heeft de fout ondertussen opgelost en daarom werd de kwetsbaarheid vandaag bekend gemaakt.
Uitschrijven van maillijsten
Veiligheidsonderzoeker Alex Birsan wist toegang te verkrijgen tot de informatie, door een functie te gebruiken die externe onderzoekers toestond zich uit te schrijven van e-maillijsten over bepaalde problemen. Zodra iemand zich uitschrijft, verzendt het systeem in een laatste reactie details over de bug. Het systeem neemt automatisch aan dat iemand daadwerkelijk toestemming heeft de informatie in te zien.
Birsan kwam er zo achter dat als hij zich uitschreef van een bepaalde maillijst, waar hij zich nooit op had ingeschreven, hij toch die details toegestuurd kreeg. Birsan kon rapportages over kwetsbaarheden die beschreven waren binnen de Issue Tracker inzien, maar ook “al het andere”, zo vertelt hij aan Motherboard.
Kans op misbruik is klein
“Misbruik maken van deze bug, geeft je toegang tot elk kwetsbaarheidsrapport dat iemand naar Google stuurt, tot ze erachter komen dat je ze bespioneert,” vertelde Birsan in een toelichting tegenover Motherboard. “Die kwetsbaarheidsrapportages omzetten in werkende aanvallen vereist wat tijd en vaardigheden. Maar des te groter de impact, des te sneller het opgelost wordt door Google. Dus zelfs als je geluk hebt en een goede [bug] weet te vangen zodra het gemeld wordt, moet je een plan hebben om er iets mee te kunnen doen.”
Volgens Birsan loste Google de bug binnen een uur op nadat hij gemeld was. “We waarderen het bericht van Alex. We hebben de kwetsbaarheden die hij gemeld heeft opgelost, net als de andere mogelijke varianten,” aldus een woordvoerder van Google.