Bereits gefixt: Forscher fand pikante Lücken innerhalb des Google Issue Trackers

Laut Alex Birsan seien die Möglichkeiten für Angreifer durchaus umfangreich gewesen, dennoch hätten diese erst einmal eine lange Planung hinlegen müssen, um die vorhandenen Lücken wirklich effektiv ausnutzen zu können. Birsan stieß nämlich bei seinen Forschungen am Google Issue Tracker auf drei einzelne Sicherheitslücken, wovon ihm eine sogar den Zugriff auf die vollständige Datenbank aller gemeldeten und noch ungepatchten Sicherheitslecks im System gewähren konnte. Hierhin dürfen normalerweise nur geprüfte Mitarbeiter, Birsan hätte sich austoben können, wäre er denn in „anderer Mission“ unterwegs gewesen.

Er meldete Google natürlich umgehend die gefundenen Schwachstellen, diese wurden binnen einer Stunde rückstandslos behoben. Pikant ist das Ganze, weil die offengelegten Daten eben ganz klar darlegen, wo im System angreifbare Lücken zu finden sind. Hacker hätten an solchen Informationen sicher ihre blanke Freude. Doch laut Google gab es angeblich niemanden außer Birsan, der auf die besagten Schwachstellen stieß.

Dieser konnte außerdem herausfinden, dass externe Forscher sich über ein spezielles Mailing-System von einem für sie freigeschalteten Thread in der Datenbank wieder abmelden können, um dann nicht mehr darin lesen/mitwirken zu können. Nach der Abmeldung bekommt der Teilnehmer noch abschließend eine Mail, in der noch einmal in Kürze die betreffende Sicherheitslücke erklärt wird. Das Blöde: Bis dato konnte sich offenbar jeder durch das gewählte Verfahren von einem solchen Thread abmelden, ganz gleich, ob es sich dabei um einen tatsächlichen Forscher handelt, der von Google autorisiert wurde oder um Benjamin M. aus Geestland – die Informationen, wo eine entsprechende Lücke existiert, bekommen beide. Auch hier wurde Google natürlich umgehend aktiv.