Новости Software

Исследователю удалось взломать систему отслеживания багов Google

У Google есть внутренняя платформа Issue Tracker, с помощью которой она отслеживает ошибки и неисправленные уязвимости. Одному исследователю удалось найти в системе баг и получить доступ к её содержимому. Калифорнийский гигант устранил проблему. В противном случае злоумышленники могли бы использовать информацию из базы в собственных целях.

Исследователь из области безопасности Алекс Бирсан (Alex Birsan) получил информацию из системы, использовав функцию, которая позволяет сторонним экспертам отписываться от почтовых рассылок о различных уязвимостях. После того как пользователь нажимает «Отписаться», платформа отправляет ему последнее письмо со всеми подробностями бага.

Система предполагает, что у пользователя есть разрешение на просмотр этой информации. Бирсан выяснил, что если отписаться от рассылки, на которую вы никогда не были подписаны, то можно узнать подробности разных багов и «всё остальное» из Issue Tracker.

«Использование бага даёт доступ ко всем отчётам об уязвимостях, которые получает Google, пока компания не выяснит, что вы за ней следите, — рассказал Бирсан сайту Motherboard. — На то, чтобы превратить эти отчёты в рабочие средства атаки, нужно время и навыки. Но чем серьёзнее баг, тем быстрее его чинит Google. Поэтому даже если вам повезёт и вы выловите баг, вам ещё нужно будет придумать, что с ним делать».

Google исправила уязвимость в платформе всего за час после того, как Бирсан о ней рассказал. «Мы благодарны за то, что Алекс нам об этом сообщил, — заявил представитель компании. — Мы исправили уязвимость, о которой он рассказал, а также всё её разновидности».

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
Прежде чем оставить комментарий, пожалуйста, ознакомьтесь с правилами комментирования. Оставляя комментарий, вы подтверждаете ваше согласие с данными правилами и осознаете возможную ответственность за их нарушение.
Все комментарии премодерируются.
Комментарии загружаются...
window-new
Soft
Hard
Тренды 🔥
Суточная аудитория портала Госуслуг за год выросла вдвое, а общая аудитория превысила 78 млн граждан 2 ч.
Майское накопительное обновление Windows 10 закрыло 55 критических уязвимостей 8 ч.
IBM представила набор данных для обучения ИИ программированию 10 ч.
Apple заявила, что строгая политика App Store уберегла от мошенников $1,5 млрд за 2020 год 11 ч.
«Сеть Локатора» можно использовать для передачи сообщений на любое расположенное рядом устройство Apple 11 ч.
В разработке для PS5 оказалось более 25 «больших, маленьких, разных» игр от Sony Interactive Entertainment 11 ч.
В российском и украинском PS Store начали дорожать игры Sega — Persona 5, Yakuza Kiwami, Valkyria Revolution 12 ч.
Суд освободил Amazon от выплаты 250 млн евро якобы неуплаченных в Европе налогов 14 ч.
Ролевой экшен Scarlet Nexus скоро получит демоверсию — она станет временным эксклюзивом Xbox Series X и S 14 ч.
Разработчики Total War: Warhammer III раньше времени опубликовали новый кинематографический трейлер [Обновлено] 15 ч.
МКС-модуль «Наука» успешно прошёл один из ключевых этапов испытаний 24 мин.
Производитель электромобилей BYD выведет своё полупроводниковое подразделение на IPO 40 мин.
СЖО Thermaltake Floe RC240/360 Snow Edition предназначены для процессора и модулей ОЗУ 2 ч.
Хакеры, которые взломали американский нефтепровод, похвастались тремя новыми жертвами 9 ч.
Новая статья: Обзор вентиляторов Arctic BioniX P120 A-RGB, или Как в Arctic подсветку осваивали 9 ч.
Amazon поделилась новыми изображениями своей будущей второй штаб-квартиры 9 ч.
Gigabyte потеряла $550 млн после своих заявлений о плохом качестве китайских товаров 11 ч.
ASUS представила флагманский смартфон Zenfone 8 Flip с откидной тройной камерой 12 ч.
Загадочный компьютер AMD 4700S Desktop Kit показался на фотографиях 12 ч.
ASUS представила Zenfone 8 — относительно компактный флагман с разъёмом для наушников и защитой от пыли и воды 12 ч.