Новости Software

Исследователю удалось взломать систему отслеживания багов Google

У Google есть внутренняя платформа Issue Tracker, с помощью которой она отслеживает ошибки и неисправленные уязвимости. Одному исследователю удалось найти в системе баг и получить доступ к её содержимому. Калифорнийский гигант устранил проблему. В противном случае злоумышленники могли бы использовать информацию из базы в собственных целях.

Исследователь из области безопасности Алекс Бирсан (Alex Birsan) получил информацию из системы, использовав функцию, которая позволяет сторонним экспертам отписываться от почтовых рассылок о различных уязвимостях. После того как пользователь нажимает «Отписаться», платформа отправляет ему последнее письмо со всеми подробностями бага.

Система предполагает, что у пользователя есть разрешение на просмотр этой информации. Бирсан выяснил, что если отписаться от рассылки, на которую вы никогда не были подписаны, то можно узнать подробности разных багов и «всё остальное» из Issue Tracker.

«Использование бага даёт доступ ко всем отчётам об уязвимостях, которые получает Google, пока компания не выяснит, что вы за ней следите, — рассказал Бирсан сайту Motherboard. — На то, чтобы превратить эти отчёты в рабочие средства атаки, нужно время и навыки. Но чем серьёзнее баг, тем быстрее его чинит Google. Поэтому даже если вам повезёт и вы выловите баг, вам ещё нужно будет придумать, что с ним делать».

Google исправила уязвимость в платформе всего за час после того, как Бирсан о ней рассказал. «Мы благодарны за то, что Алекс нам об этом сообщил, — заявил представитель компании. — Мы исправили уязвимость, о которой он рассказал, а также всё её разновидности».

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
Стереть нельзя уничтожить: Verity ES предлагает решение для надёжной очистки б/у накопителей 7 ч.
Система сетевой безопасности «Гарда монитор» получила сертификат ФСТЭК России 8 ч.
Ubisoft анонсировала дополнение Lost Between Worlds для Far Cry 6 и выпустила патч с «Новой игрой +» 9 ч.
Утечка: в декабре подписчикам PS Plus достанется известнейшая трилогия ролевых игр BioWare и не только 11 ч.
«Объясните свою некомпетентность»: игроки ругают Blizzard за проблемы на запуске World of Warcraft: Dragonflight — компания уже ответила 12 ч.
Служба AWS Time Sync стала доступна в виде публичного NTP-сервиса 13 ч.
Samsung готовит приложение с инструкциями для самостоятельного ремонта электроники 14 ч.
Против Google подали коллективный иск 21 млн пользователей за слишком большие комиссии в Play Маркете 15 ч.
Star Wars Battlefront II получит полноценный VR-мод — работа над ним уже идёт полным ходом 15 ч.
«Сбер» открыл доступ к платформе синтеза и распознавания речи SaluteSpeech 15 ч.
Ведущий аналитик спрогнозировал снижение объёмов поставок Apple iPhone в этом квартале на 20 млн штук 2 ч.
ZTE представила Axon 40 Ultra Space Edition — флагман с 18 Гбайт ОЗУ и 1 Тбайт флеш-памяти за $1075 6 ч.
В России стартовали продажи смартфонов Infinix HOT 20, HOT 20i и HOT 20S 6 ч.
Новая статья: Обзор телевизора Hisense U7HQ55: акцент на качестве картинки 6 ч.
Tencent поможет китайскому производителю электромобилей NIO создавать технологии автономного вождения 9 ч.
На фото показались первые ноутбуки на Intel Raptor Lake и AMD Ryzen 7000, с графикой GeForce RTX 4000 и Radeon RX 7000S 9 ч.
МТС развернула облачный сервис GSLB для глобального распределения интернет-трафика 10 ч.
К 2025 году каждый второй автомобиль будет оснащён частичным автопилотом 10 ч.
ASUS представила плату Pro WS W680-ACE IPMI — она получила IPMI-карту с ASPEED AST2600 12 ч.
Xiaomi раскрыла, насколько Snapdragon 8 Gen 2 быстрее предшественника — он может догнать и обогнать Apple A16 Bionic 12 ч.