77ef3d7f

Исследователю удалось открыть технологию наблюдения багов Google

У Google есть внешняя платформа Issue Трекер, при помощи которой она выслеживает ошибки и неправленые уязвимости. Одному исследователю удалось отыскать в системе баг и получить доступ к её охватываемому. Калифорнийский великан ликвидировал неприятность. Иначе мошенники могли бы применять информацию из базы в своих задачах.

Специалист из области безопасности Алекс Бирсан (Alex Birsan) обрел информацию из системы, применив функцию, которая дает возможность посторонним специалистам отписываться от почтовых рассылок о разных уязвимостях. После того как клиент жмет «Отписаться», платформа посылает ему последнее послание со всеми деталями бага.

Система подразумевает, что у клиента есть разрешение на осмотр данной информации. Бирсан узнал, что если отписаться от рассылки, на которую вы никогда в жизни не были записаны, то вы можете узнать детали различных багов и «всё другое» из Issue Трекер.

«Применение бага даёт доступ ко всем отчётам об уязвимостях, которые приобретает Google, пока организация не обнаружит, что вы за ней смотрите, — сообщил Бирсан веб-сайту Motherboard. — На то, чтобы преобразовать эти отчёты в действующие средства атаки, требуется определенный срок и способности. Однако чем серьёзнее баг, тем стремительней его ремонтирует Google. Потому даже если вам повезёт и вы переловите баг, вам ещё необходимо разработать, что с ним делать».


Google поправила слабость в базе за час после того, как Бирсан о ней сообщил. «Мы признательны за то, что Алекс нам про это рассказал, — сообщил официальный дилер. — Мы поправили слабость, о которой он сообщил, и всё её вариации».

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий