Ένας νεαρός hacker από την Τσεχία ανακάλυψε ένα κενό ασφαλείας σε μία από τις εφαρμογές υποστήριξης της Google.
Αν το εκμεταλλευόταν κάποιος με κακόβουλη πρόθεση το σφάλμα θα μπορούσε να επιτρέψει σε hackers να υποκλέψουν cookies των υπαλλήλων της Google για εσωτερικές εφαρμογές και να καταλάβουν τους λογαριασμούς τους. Μετά θα μπορούσαν να ξεκινήσουν εξαιρετικά πειστικές απόπειρες ηλεκτρονικού ψαρέματος, που θα τους παραχωρούσε πρόσβαση σε πολλά άλλα τμήματα του εσωτερικού δικτύου της Google.
Το κενό ασφαλείας ανακαλύφθηκε από τον ερευνητή Thomas Orlita τον Φεβρουάριο του 2019. Διορθώθηκε στα μέσα Απριλίου, αλλά δημοσιεύτηκε μόλις τώρα.
Η ευπάθεια ήταν ένα cross-site scripting (XSS), και βρέθηκε στην πύλη υποβολής τιμολογίων της Google, ένα δημόσιο domain που ανακατευθύνει η Google τους επιχειρηματικούς χρήστες της πλατφόρμας για την υποβολή τιμολογίων.
Οι περισσότερες ευπάθειες cross-site scripting (XSS) δεν θεωρούνται και τόσο επικίνδυνες αλλά υπάρχουν περιπτώσεις που μπορούν να οδηγήσουν σε πολύ σοβαρά προβλήματα.
Μία από αυτές τις περιπτώσεις ήταν η ανακάλυψη του Orlita. Ο ερευνητής είπε ότι κάποιος κακόβουλος χρήστης θα μπορούσε να ανεβάσει δικά του αρχεία στο Google Invoice Submission Portal, μέσω του Upload Invoice.
Χρησιμοποιώντας κάποιο proxy ο εισβολέας θα μπορούσε να παρεμποδίσει το Google Invoice Submission Portal να αλλάξει το PDF έγγραφο (μετά τη διεξαγωγή της διαδικασίας υποβολής και επικύρωσης της φόρμας) και να το τροποποιήσει σε HTML, με κακόβουλο φορτίο XSS.
Το κακόβουλο έγγραφο θα αποθηκευόταν στο backend τιμολόγησης της Google και θα περίμενε κάποιον να το ανοίξει.
“Το XSS τρέχει σε ένα subdomain του googleplex.com και ενώ ο εργαζόμενος είναι συνδεδεμένος, ο εισβολέας μπορεί να έχει πρόσβαση στον πίνακα ελέγχου του subdomain από όπου είναι δυνατή η προβολή και διαχείριση των τιμολογίων”, ανέφερε ο Orlita στο ZDNet.
“Ανάλογα με τον τρόπο διαμόρφωσης των cookies στο googleplex.com, μπορεί να είναι δυνατή η πρόσβαση σε άλλες εσωτερικές εφαρμογές που φιλοξενούνται σε αυτό το domain”, πρόσθεσε ο ερευνητής.
Έτσι αφού οι περισσότερες εσωτερικές εφαρμογές της Google φιλοξενούνται στο domain googleplex.com, αυτό δίνει στους εισβολείς πάρα πολλές δυνατότητες.
Φυσικά, όπως και τα περισσότερα κενά ασφαλείας XSS, η επικινδυνότητα του σφάλματος εξαρτάται από το επίπεδο δεξιοτήτων του hacker, και την ικανότητά του να πραγματοποιήσει πιο σύνθετες επιθέσεις.
Για περισσότερες τεχνικές λεπτομέρειες μπορείτε να διαβάσετε την δημοσίευση του Orlita.
_________________
Διαβάστε τις Τεχνολογικές Ειδήσεις από όλο τον κόσμο, με την εγκυρότητα του iGuRu.gr
Ακολουθήσετε μας στο Google News
Q4OS 3.7 Centaurus για χρήστες των Windows που δεν θέλουν Windows
»
Comment Policy:
Tο iGuRu.gr δεν δημοσιεύει άμεσα τα σχόλια. Κακόβουλα σχόλια, σχόλια που συμπεριλαμβάνουν διαφημίσεις, ή σχόλια με ύβρεις διαγράφονται χωρίς καμία προειδοποίηση. Δεν υιοθετούμε τις απόψεις που εκφράζουν οι αναγνώστες μας.
Τα σχολιά σας θα εμφανιστούν μετά την έγκρισή τους από τους διαχειριστές