Η Google επιβράβευσε ένα ερευνητή ασφάλεια με 5.000 δολάριο για την ανακάλυψη και την υποβολή μιας ευπάθειας cross-site scripting στην κονσόλα διαχείρισης των Google Apps που θα μπορούσε να δώσει σε έναν εισβολέα τον πλήρη έλεγχο ενός λογαριασμού της Google.
Πολλές επιχειρήσεις συνδέουν τα domain τους τους με τις υπηρεσίες της Google, κάτι που τους επιτρέπει την πρόσβαση σε στο Gmail, και τη συνεργασία με τα Google Apps.
Ο τεχνικός ασφαλείας της Blizzard Entertainment, Brett Buerhaus ανακάλυψε μια μορφή XSS που θα μπορούσε να χρησιμοποιηθεί κατά τη σύνδεση στην κονσόλα διαχείρισης.
Η διαδικασία του log-in απαιτεί τα διαπιστευτήρια του χρήστη, εμφανίζοντας τουλάχιστον δύο λογαριασμούς της Google. Στη φόρμα εναλλαγής λογαριασμών της Google μετά την επιλογή ενός από τους λογαριασμούς, τρέχει ένα JavaScript για να ανακατευθύνει το πρόγραμμα περιήγησης στη σωστή σελίδα.
“Η διεύθυνση URL που χρησιμοποιείται σε αυτό το JavaScript παρέχεται στο χρήστη για να συνεχίσει την παράμετρο του αιτήματος. Η παράμετρος που συνεχίζει το αίτημα είναι ένα αρκετά κοινό μεταβλητό αίτημα στη ροή σύνδεσης της Google. Όμως αυτή είναι η μοναδική σελίδα που μπόρεσα να βρω ότι δεν επικύρωσε τη διεύθυνση URL. Το χαρακτηριστικό επιτρέπει την εκτέλεση επιθέσεων Cross-site Scripting με τη χρήση του “javascript:” ως μέρος του URL και θα εκτελεστεί κατά την ανακατεύθυνση του προγράμματος περιήγησης,” αναφέρει ο Buerhaus σε μία δημοσίευση.
Η εκμετάλλευση της συγκεκριμένης ευπάθειας θα μπορούσε να δώσει στον επιτιθέμενο τη δυνατότητα δημιουργίας νέων χρηστών με οποιοδήποτε επίπεδο δικαιωμάτων, συμπεριλαμβανομένου και του σούπερ διαχειριστή, την αλλαγή των ρυθμίσεων ασφαλείας για τους χρήστες ή τα domains, την αλλαγή των ρυθμίσεων του domain, για να προωθεί τα εισερχόμενα μηνύματα ηλεκτρονικού ταχυδρομείου σε διαφορετικό domain.
Επιπλέον, ο εισβολέας θα μπορούσε να αναλάβει τον έλεγχο διαφορετικών λογαριασμών ηλεκτρονικού ταχυδρομείου με τη μέθοδο επαναφοράς του κωδικού πρόσβασης. Θα μπορούσε να απενεργοποιήσει τη λειτουργία ελέγχου ταυτότητας δύο παραγόντων, αποδυναμώνοντας εντελώς την ασφάλεια στον στοχευμένο λογαριασμό.
Ο ερευνητής δημοσίευσε ένα PoC για να αποδείξει αυτά που ισχυρίζεται. Η Google έχει διορθώσει ήδη την ευπάθεια.