一位來(lái)自羅馬尼亞的bug獵手從谷歌公司的官方bug追蹤工具中發(fā)現(xiàn)了三項(xiàng)安全缺陷,其中一項(xiàng)已經(jīng)被用于向未授權(quán)入侵者泄露與漏洞相關(guān)的敏感信息。
發(fā)現(xiàn)這一問(wèn)題的研究人員名為Alex Birsan(亞歷克斯·伯桑),其解釋稱最后一項(xiàng)安全缺陷可謂“谷歌bug中的圣杯”,因?yàn)槠湓试S攻擊者訪問(wèn)谷歌產(chǎn)品中各類(lèi)尚未得到解決的安全漏洞。
一旦被對(duì)方掌握,攻擊者將能夠利用這些安全缺陷實(shí)現(xiàn)自己的目的,或者將此類(lèi)信息通過(guò)黑市進(jìn)行出售,最終導(dǎo)致數(shù)億谷歌用戶面臨巨大風(fēng)險(xiǎn)。
“谷歌中央bug追蹤系統(tǒng)”可訪問(wèn)這三項(xiàng)缺陷影響到谷歌的Issue Tracker——亦被稱為Buganizer,這是一款類(lèi)似論壇的應(yīng)用程序,負(fù)責(zé)追蹤谷歌產(chǎn)品中的錯(cuò)誤報(bào)告與安全漏洞。
Birsan在接受采訪時(shí)解釋稱,“Buganizer是谷歌公司的中央bug追蹤系統(tǒng),很可能亦包含有谷歌內(nèi)部系統(tǒng)的漏洞信息。”但Birsan表示,只進(jìn)行了最低限度的嘗試以確認(rèn)這項(xiàng)漏洞真實(shí)存在,并無(wú)法100%確定。他查看了幾項(xiàng)連續(xù)bug ID,實(shí)際本無(wú)權(quán)訪問(wèn)這些信息。但必須承認(rèn),目前的狀況是只要愿意還可以查看大量其他有趣的資訊。
通常情況下,只有谷歌員工與bug獵手才能訪問(wèn)Buganizer——而他們一般會(huì)接受?chē)?yán)格的訪問(wèn)限制,包括僅接觸與其報(bào)告或者所需要修復(fù)的漏洞相關(guān)的內(nèi)容。
三項(xiàng)安全缺陷bug獵人獲十萬(wàn)余元獎(jiǎng)勵(lì)效力于一家羅馬尼亞網(wǎng)絡(luò)安全企業(yè)的Python開(kāi)發(fā)人員Birsan指出,他在今年9月27日至10月4日之間的業(yè)余時(shí)段內(nèi)發(fā)現(xiàn)了這些bug。這三項(xiàng)問(wèn)題分別為:
一種利用Buganizer通用電子郵件地址命名模式注冊(cè)@google.com郵件地址的方式。
一種通過(guò)訂閱及通知接收了解他本無(wú)權(quán)接觸的bug信息的方式。
一種欺騙Buganizer API以訪問(wèn)每項(xiàng)bug信息的方式。
谷歌公司為第一項(xiàng)bug支付了3133.7美元賞金,第二項(xiàng)為5000美元,第三項(xiàng)則為7500美元(約合人民幣分別為20772元、33143元、49714元)。
Birsan在采訪中解釋稱,他在報(bào)告第三項(xiàng)bug后的一小時(shí)內(nèi)即收到了回復(fù)。除非報(bào)告事態(tài)確實(shí)相當(dāng)重大,否則bug獵手們一般不會(huì)在這么短的時(shí)間內(nèi)即得到回復(fù)。
谷歌內(nèi)部處理BUG效率高谷歌公司應(yīng)該暗自慶幸,因?yàn)檫@些問(wèn)題被一位出色的bug獵手及時(shí)發(fā)現(xiàn)。
2014年,微軟公司的內(nèi)部漏洞數(shù)據(jù)庫(kù)曾經(jīng)被攻擊者入侵,而Mozilla公司也在2015年遭遇到類(lèi)似的事故。
盡管攻擊者此前有可能已經(jīng)開(kāi)始訪問(wèn)敏感bug報(bào)告,但Birsan在一篇帖子中解釋道,攻擊者很難確定任何可用的安全缺陷。攻擊者必須花費(fèi)大量精力每小時(shí)篩選數(shù)千份bug報(bào)告。Birsan同時(shí)發(fā)現(xiàn)谷歌公司的數(shù)據(jù)庫(kù)每小時(shí)會(huì)接收到2000到3000項(xiàng)新問(wèn)題。
此外,Birsan稱自己的漏洞報(bào)告可能在一小時(shí)內(nèi)被核實(shí),漏洞很可能在這期間被修復(fù)。以此他判斷谷歌出現(xiàn)的安全缺陷影響會(huì)降到最低。