Die Entdeckung wurde von einem Universitätsstudenten gemacht, der sich der Gefährlichkeit der Sicherheitslücke nicht bewusst war.
Google hat einem jungen Cybersicherheitsforscher 36.337 US-Dollar für die Offenlegung einer schwerwiegenden Sicherheitslücke in der Google App Engine zugesprochen.
Sicherheit
- 8 Gewohnheiten hochsicherer Remote-Mitarbeiter
- So finden und entfernen Sie Spyware von Ihrem Telefon
- Die besten VPN-Dienste: Wie schneiden die Top 5 im Vergleich ab?
- So finden Sie heraus, ob Sie in einen Datenverstoß verwickelt sind – und was als nächstes zu tun ist
Der 18-jährige Student der Universität der Republik Uruguay entdeckte einen kritischen RCE-Fehler (Remote Code Execution) im System, ein Framework und eine Cloud-Plattform für das Hosting und die Entwicklung von Webanwendungen in Google-Daten Zentren.
Laut dem ForscherAnfang 2018 erhielten sie Zugang zu einer nicht produktiven Google App Engine-Bereitstellungsumgebung, in der der Forscher interne APIs nutzen konnte.
Jede Google App Engine (GAE)-Anwendung antwortet auf HTTP-Anfragen mit einem „X-Cloud-Trace-Context“-Header. Appengine.google.com läuft auf GAE und nach einiger Erkundung erfuhr der Forscher, wie GAE-Apps interne Aktionen ausführen, darunter das Schreiben von Protokollen und das Abrufen von OAuth-Tokens.
In der Java 8-Umgebung wurden interne Aktionen jedoch durch das Senden von Protocol Buffer (PB)-Nachrichten an einen internen HTTP-Endpunkt durchgeführt. Die Antwort wäre die entsprechende PB-Nachricht, die die Antwort der API darstellt, oder eine Fehlermeldung.
Sicherheitstickets könnten auch mit manipulierten Codezeilen generiert werden.
„Da dieser Endpunkt Zugriff auf einige interne Dinge hat, war ich mir sicher, dass dies mit irgendetwas zusammenhängen muss.“ „appengine.google.com“ wird zum Ausführen interner Aktionen verwendet, aber ich konnte im HTTP-Endpunkt nichts finden“, so der erklärte der Forscher.
Anschließend lud der Bug-Jäger eine statisch verknüpfte Version von Nmap auf GAE hoch. Dies führte zu der Entdeckung, dass Port vier offen war, und nachdem der Forscher einen C++-Client erstellt und auf GAE ausgeführt hatte, entdeckte er einen gRPC-Dienst, der ein „Apphosting“ ausführte. APIHost“-API.
Zu diesem Zeitpunkt schien es, als würden die von der Appengine-Domäne ausgeführten Aktionen versteckte APIs aufrufen. Anschließend erstellte der Forscher eine Java-Bibliothek in C++, das an Starter übergebene Argumente liest, bevor es sie zurückgibt, was zur Entdeckung von API-Namen einschließlich „logservice“ und führt „stummelig.“
Durch diese Skripte konnte der Forscher Zugriff auf die Staging- und Test-GAE-Bereitstellungsumgebungen erhalten, die normalerweise eingeschränkt sind und auf die Standardbenutzer nicht zugreifen können.
Ein paar Optimierungen am gRPC-Client ermöglichten dem Bug-Jäger den Zugriff auf Stubby.
„Nachdem ich das herausgefunden hatte, habe ich einige Tests durchgeführt, konnte aber keinen Stubby Call finden, den ich für gefährlich hielt“, sagt der Forscher. „Trotzdem habe ich dies an Google gemeldet und es hat P1-Priorität erhalten.“
Die Erkundung wurde jedoch fortgesetzt und führte zur Entdeckung zusätzlicher interner APIs, darunter „app_config_service“. Diese Erkenntnisse waren auch berichtete, und Google forderte den Forscher auf, damit aufzuhören – da die reale Gefahr bestehe, dass weitere Untersuchungen der APIs zu Störungen führen könnten System.
Dem Universitätsstudenten wurde dann das hohe Kopfgeld für einen von Google als schwerwiegenden RCE-Fehler eingestuften Fehler zugesprochen.
Siehe auch: Sicherheitslücke im Spectre-Chip erneut aufgetreten; Patches kommen
„Mir war bis dahin nicht bewusst, dass dies als Remote Code Execution (die höchste Stufe für Fehler) angesehen wurde. Es war eine sehr angenehme Überraschung“, fügte der Forscher hinzu. „Ich habe einen der Google-Mitarbeiter im Belohnungspanel danach gefragt, und er hat mir gesagt, dass es sich um RCE für die Art und Weise handelt, wie Google funktioniert, und dass die zusätzlichen 5.000 $ (da sie 31.337 $ für RCE-Fehler zahlen) für einen geringeren Fehler gedacht seien.“
Der erste Bericht wurde am 25. Februar erstellt. Google bestätigte die Ergebnisse und behebte das Sicherheitsproblem am 16. Mai 2018.
Im Januar vergab Google 112.500 US-Dollar an einen Kopfgeldjäger für Bugs Offenlegung einer Exploit-Kette Dies könnte dazu verwendet werden, Pixel-Mobilgeräte zu kompromittieren.
„Cybersicherheit“ ist ein Muss für jedes Hacker-Bücherregal
Bisherige und verwandte Berichterstattung
- Google Android-Sicherheitsbericht 2017: Wir lesen ihn, damit Sie ihn nicht lesen müssen
- Googles Project Zero enthüllt ungepatchte Windows 10-Sperrumgehung
- Nordkoreanische Überläufer und Journalisten, die über Google Play ins Visier genommen werden