セキュリティ研究者らは木曜日、アムステルダムで開催された Hack in the Box カンファレンスで、Google サービスの脆弱性 8 件を明らかにしたが、過去数か月間に同様のバグを 100 件以上発見したと主張している。
彼らが明らかにしたバグは、GoogleのブログプラットフォームBlogger、アナリティクスサービス、Googleカレンダーなどのサービスで発見された。
テルアビブに拠点を置くセキュリティ企業 Zimperium の創業者でセキュリティ研究者の Itzhak Avraham 氏は、最も興味深いのはカレンダーとアナリティクスで見つかったバグの 2 つだと述べた。
クロスサイトスクリプティング(XSS)の脆弱性は、Googleのサービスで最も多く発見されているバグだと、アヴラハム氏とセキュリティ研究者のニール・ゴールドシュラガー氏はHack in the Boxでのプレゼンテーションで述べた。XSS攻撃は、あるウェブサイトやファイルから、まるで別のウェブサイトやファイルに属しているかのように悪意のあるコードを実行できるようにするもので、アカウントデータの窃盗だけでなく、被害者のコンピュータのハッキングにも利用できると彼らは指摘した。「Gmailのハッキングは、コンピュータのハッキングほど興味深いものではありません」とアヴラハム氏は付け加えた。
「カレンダーのバグは、ユーザーに勝手にバグを実行させられるので、私のお気に入りの一つです」とアヴラハム氏は述べた。研究者たちは、カレンダーのユーザーがアプリケーションの共有オプションを利用してXSS攻撃を仕掛ける方法を発見した。これは、攻撃者が自身のカレンダーアイテムを被害者と5回以上共有することで実現され、ユーザーにスパムを送りつけ、不要な共有アイテムを削除するよう促した。ユーザーが共有アイテムを5つ削除すると、選択したカレンダーアイテムが読み込まれないというエラーメッセージがポップアップ表示され、その後、保存型XSS攻撃が発動され、攻撃者は被害者のコンピュータに侵入できるようになる。
アヴラハム氏はアナリティクスのバグについても言及しました。彼によると、アナリティクスのコードはウェブページのソースコードから見つけられるため、どのサイトがアナリティクスを使用しているかは容易に特定できます。アナリティクスを利用する攻撃者は、URLを送信することで、標的のウェブサイトの管理者にXSSリンクを送信することが可能でした。これは、アナリティクス内でウェブサイト上に重ねてデータを表示できる機能であるページ内アナリティクスが、外部からのリクエストを受け付けるからこそ可能になったのです。
研究者たちは、この脆弱性を悪用する2つの方法を発見しました。1つは、攻撃者が自身のIn-Page Analyticsプロファイルを被害者と共有するというものでした。被害者は、Analyticsプロファイルが共有されたというメッセージを受け取り、誰が共有したかを確認するよう促されます。すると、攻撃者のXSSに感染したウェブサイトがIn-Pageビューアに読み込まれ、攻撃が実行され、攻撃者は被害者のコンピュータをハッキングできるようになります。
アブラハム氏とゴールドシュラガー氏は自らを「バグハンター」と称し、脆弱性の報告に対して報奨金を支払うベンダーのソフトウェアに積極的にバグを探すハッカーだと述べている。研究者によると、Google、Facebook、Mozillaといった企業は、自社のソフトウェアに発見されたバグに対し、通常500ドルから3,000ドルを支払っているという。彼らによると、このような大規模サービスのバグを見つける最良の方法は、例えば買収を追跡するなど、企業の活動を追跡することだという。アブラハム氏は、新たに追加されたサービスは必ずしも十分に保護されているとは限らないと述べた。
研究者らは、Google の Feedburner、Knol、FriendConnect、Picnik サービス、および Google Affiliate Network で発見したバグも発表した。
写真編集サービス「Picnik」で発見されたバグは、オープンソースのメールアプリケーション「phpList」の古いバージョンに関連し、セキュリティホールが多数存在していたと研究者らは述べている。さらに、Googleは同アプリケーションのデフォルトのユーザー名とパスワードを使用していたと付け加えた。
「あれは非常に大きなミスでした」とゴールドシュラガー氏は述べ、この脆弱性がサーバー全体のセキュリティ侵害につながる可能性があったため、Googleにバグを報告した際にphpListの使用責任者が解雇されたと付け加えた。バグバウンティハンターたちは、この漏洩を発見したことで3,133.70ドルの報酬を受け取った。
研究者らによると、Hack in the Boxで言及されたGoogleに報告されたバグはすべて、プレゼンテーション前に修正されていたという。
