Ο Γάλλος ερευνητής ασφάλειας, Issam Rabhi, εντόπισε μια cross-site scripting (XSS) ευπάθεια στην διεπαφή Αναζήτησης της Google, κάτι που πολλοί μπορεί να πίστευαν ότι είναι αδύνατο μετά από τόσα χρόνια μεθοδικής μελέτης από άλλους εμπειρογνώμονες ασφαλείας.
Ο λόγος που ο Rabhi κατάφερε να εντοπίσει κάτι τόσο ασύλληπτο είναι επειδή το θέμα δεν βρισκόταν στο κλασικό τμήμα Αναζήτησης της Google, αλλά στο προσαρμοσμένο widget, που η εταιρεία εισήγαγε για τους Ολυμπιακούς Αγώνες του Ρίο.
Η εταιρεία εξακολουθεί να χρησιμοποιεί το widget σήμερα για να εμφανίζει τα τελικά αποτελέσματα από τους, μέχρι προσφάτως σε εξέλιξη, Ολυμπιακούς Αγώνες, αλλά χωρίς το XSS ζήτημα, που επιδιορθώθηκε σε τέσσερις ημέρες μετά την αποκάλυψή του.
Σύμφωνα με τον Rabhi, ο οποίος εργάζεται για τη γαλλική εταιρεία ασφαλείας, Sysdream, το ζήτημα επηρέαζε μόνο τη γαλλική εκδοχή του Google widget των Ολυμπιακών Αγώνων και είναι αυτό που οι ειδικοί αποκαλούν μια reflected XSS (επίσης γνωστό και ως self-XSS, first-order XSS, type 1 XSS ή non-persistent XSS).
Αυτό σημαίνει ότι ο εισβολέας έπρεπε να πείσει το θύμα να μπει σε έναν Gοogle σύνδεσμο, ο οποίος περιελάμβανε ήδη τον κακόβουλο κώδικα μέσα στις παραμέτρους της URL διεύθυνσης. Δεδομένου ότι η Google χρησιμοποιεί ήδη αρκετά μεγάλες URL διευθύνσεις, δεν έπρεπε να ήταν και δύσκολο.
Όταν ο Rabhi ενημέρωσε τη Google για το θέμα στις 5 Αυγούστου, η πρώτη αντίδραση της εταιρείας ήταν “Nice catch!”. Η Google διόρθωσε το XSS στις 9 Αυγούστου.
Ενώ πολλές εταιρείες μπορεί να μην μετράνε τα XSS σφάλματα στα bug bounty προγράμματά τους, τα θέματα αυτά είναι εφαλτήρια για πιο σοβαρές εισβολές. Τα XSS exploits επιτρέπουν στους επιτιθέμενους να συλλέγουν cookies και XSRF tokens για πιο παρεμβατικές επιθέσεις, οι οποίες τους επιτρέπουν να θέσουν σε κίνδυνο και να πάρουν τον έλεγχο των λογαριασμών ενός στόχου.
Φυσικά, και μεγάλες εταιρείες δεν παίρνουν στα σοβαρά αυτά τα ζητήματα. Μία από αυτές είναι και η Microsoft. Ο Ilia Kolochenko, Διευθύνων Σύμβουλος της web εταιρείας ασφάλειας, High-Tech Bridge, δήλωσε ότι η Microsoft αρνήθηκε να εξετάσει ένα XSS bug που είχαν, αρχικά, ανακαλύψει ως θέμα ευπάθειας της ασφαλείας.
Το θέμα, που περιγράφεται εδώ, είναι μία self-XSS στο Microsoft Dynamics CRM, το οποίο η εταιρεία αρνήθηκε να patch-άρει, σύμφωνα με τον Kolochenko.
