Bereits gefixt: Forscher fand pikante Lücken innerhalb des Google Issue Trackers

1. November 2017 Kategorie: Backup & Security, Google, geschrieben von: Benjamin Mamerow

Laut Alex Birsan seien die Möglichkeiten für Angreifer durchaus umfangreich gewesen, dennoch hätten diese erst einmal eine lange Planung hinlegen müssen, um die vorhandenen Lücken wirklich effektiv ausnutzen zu können. Birsan stieß nämlich bei seinen Forschungen am Google Issue Tracker auf drei einzelne Sicherheitslücken, wovon ihm eine sogar den Zugriff auf die vollständige Datenbank aller gemeldeten und noch ungepatchten Sicherheitslecks im System gewähren konnte. Hierhin dürfen normalerweise nur geprüfte Mitarbeiter, Birsan hätte sich austoben können, wäre er denn in „anderer Mission“ unterwegs gewesen.

Er meldete Google natürlich umgehend die gefundenen Schwachstellen, diese wurden binnen einer Stunde rückstandslos behoben. Pikant ist das Ganze, weil die offengelegten Daten eben ganz klar darlegen, wo im System angreifbare Lücken zu finden sind. Hacker hätten an solchen Informationen sicher ihre blanke Freude. Doch laut Google gab es angeblich niemanden außer Birsan, der auf die besagten Schwachstellen stieß.

Dieser konnte außerdem herausfinden, dass externe Forscher sich über ein spezielles Mailing-System von einem für sie freigeschalteten Thread in der Datenbank wieder abmelden können, um dann nicht mehr darin lesen/mitwirken zu können. Nach der Abmeldung bekommt der Teilnehmer noch abschließend eine Mail, in der noch einmal in Kürze die betreffende Sicherheitslücke erklärt wird. Das Blöde: Bis dato konnte sich offenbar jeder durch das gewählte Verfahren von einem solchen Thread abmelden, ganz gleich, ob es sich dabei um einen tatsächlichen Forscher handelt, der von Google autorisiert wurde oder um Benjamin M. aus Geestland – die Informationen, wo eine entsprechende Lücke existiert, bekommen beide. Auch hier wurde Google natürlich umgehend aktiv.


Über den Autor: Benjamin Mamerow

Blogger, stolzer Ehemann und passionierter Dad aus dem Geestland. Quasi-Nachbar vom Caschy (ob er mag oder nicht ;D ), mit iOS und Android gleichermaßen glücklich und außerdem zu finden auf Twitter und Google+. PayPal-Kaffeespende an den Autor. Mail: benjamin@caschys.blog

Benjamin hat bereits 1021 Artikel geschrieben.