Ανακαλύφθηκε μια κρίσιμη ευπάθεια στο Google ( XML External Entity ή XXE ) που θα μπορούσε να επιτρέψει σε έναν εισβολέα να αποκτήσει πρόσβαση σε εσωτερικά αρχεία των servers της εταιρείας. Ακούγεται σαν ανέκδοτο, αλλά η ευπάθεια ανακαλύφθηκε πραγματικά από τους ερευνητές ασφαλείας της Detectify.
Η ευπάθεια βρισκόταν στο Toolbar Button Gallery. Η ομάδα των ερευνητών ανακάλυψε ένα κενό, όταν παρατήρησε ότι το Google Toolbar Gallery Button επιτρέπει στους χρήστες να προσαρμόσουν στις γραμμές εργαλείων τους νέα κουμπιά. Έτσι, για τους προγραμματιστές, ήταν εύκολο να δημιουργήσουν δικά τους κουμπιά και να ανεβάσουν τα XML αρχεία με μεταδεδομένα styling και άλλες τέτοια χαρακτηριστικά.
Όμως όπως φάνηκε, αυτή η υπηρεσία της Google ήταν ευάλωτη σε XML External Entity (XXE). Το XML External Entity είναι ένα XML injection που επιτρέπει σε έναν εισβολέα να αναγκάσει την εγκατάσταση ενός κακόβουλου XML που μπορεί να θέσει σε κίνδυνο την ασφάλεια μιας web εφαρμογής.
Οι ερευνητές δημιούργησαν το δικό τους κουμπί που περιείχε κακόβουλο XML κώδικα, που είχα σαν στόχο να “ψαρέψει” δεδομένα αο τους servers της Google. Με την αποστολή αυτού του αρχείου κατάφεραν να αποκτήσουν πρόσβαση, σε εσωτερικά αρχεία που ήταν αποθηκευμένα σε έναν από τους διακομιστές παραγωγής της Google και κατάφερε να διαβάσουν με επιτυχία τα αρχεία “/etc/passwd” and the “/etc/hosts.”
Με την εκμετάλλευση της ίδιας ευπάθειας όπως ανέφεραν οι ερευνητές θα μπορούσαν να έχουν πρόσβαση σε οποιοδήποτε άλλο αρχείο υπάρχει στον κεντρικό υπολογιστή της εταιρείας, ή θα μπορούσαν να αποκτήσουν πρόσβαση στα εσωτερικά τους συστήματα, μέσω της αξιοποίησης του SSRF.
Οι ερευνητές ανέφεραν την ευπάθεια στην ομάδα ασφάλειας της Google και ανταμείφθηκαν με 10.000 δολάρια από την εταιρεία.