新闻快讯
< >

谷歌Bug追踪工具存在漏洞,导致其安全漏洞数据库信息不慎曝光

E安全11月1日讯 一位来自罗马尼亚的bug猎手从谷歌公司的官方bug追踪工具中发现了三项安全缺陷,其中一项已经被用于向未授权入侵者泄露与漏洞相关的敏感信息。

发现这一问题的研究人员名为Alex Birsan(亚历克斯·伯桑),其解释称最后一项安全缺陷可谓“谷歌bug中的圣杯”,因为其允许攻击者访问谷歌产品中各类尚未得到解决的安全漏洞。

谷歌Bug追踪工具存在漏洞,导致其安全漏洞数据库信息不慎曝光-E安全

一旦被对方掌握,攻击者将能够利用这些安全缺陷实现自己的目的,或者将此类信息通过黑市进行出售,最终导致数亿谷歌用户面临巨大风险。

“谷歌中央bug追踪系统”可访问

这三项缺陷影响到谷歌的Issue Tracker——亦被称为Buganizer,这是一款类似论坛的应用程序,负责追踪谷歌产品中的错误报告与安全漏洞。

Birsan在接受采访时解释称,“Buganizer是谷歌公司的中央bug追踪系统,很可能亦包含有谷歌内部系统的漏洞信息。”但Birsan表示,只进行了最低限度的尝试以确认这项漏洞真实存在,并无法100%确定。他查看了几项连续bug ID,实际本无权访问这些信息。但必须承认,目前的状况是只要愿意还可以查看大量其他有趣的资讯。

通常情况下,只有谷歌员工与bug猎手才能访问Buganizer——而他们一般会接受严格的访问限制,包括仅接触与其报告或者所需要修复的漏洞相关的内容。

三项安全缺陷bug猎人获十万余元奖励

效力于一家罗马尼亚网络安全企业的Python开发人员Birsan指出,他在今年9月27日至10月4日之间的业余时段内发现了这些bug。这三项问题分别为:

一种利用Buganizer通用电子邮件地址命名模式注册@google.com邮件地址的方式。

一种通过订阅及通知接收了解他本无权接触的bug信息的方式。

一种欺骗Buganizer API以访问每项bug信息的方式。

谷歌Bug追踪工具存在漏洞,导致其安全漏洞数据库信息不慎曝光-E安全

谷歌公司为第一项bug支付了3133.7美元赏金,第二项为5000美元,第三项则为7500美元(约合人民币分别为20772元、33143元、49714元)。

Birsan在采访中解释称,他在报告第三项bug后的一小时内即收到了回复。除非报告事态确实相当重大,否则bug猎手们一般不会在这么短的时间内即得到回复。

谷歌内部处理BUG效率高

谷歌公司应该暗自庆幸,因为这些问题被一位出色的bug猎手及时发现。

2014年,微软公司的内部漏洞数据库曾经被攻击者入侵,而Mozilla公司也在2015年遭遇到类似的事故。

尽管攻击者此前有可能已经开始访问敏感bug报告,但Birsan在一篇帖子中解释道,攻击者很难确定任何可用的安全缺陷。攻击者必须花费大量精力每小时筛选数千份bug报告。Birsan同时发现谷歌公司的数据库每小时会接收到2000到3000项新问题。

此外,Birsan称自己的漏洞报告可能在一小时内被核实,漏洞很可能在这期间被修复。以此他判断谷歌出现的安全缺陷影响会降到最低。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。