image

Google beloont beveiligingslek in zoekmachine met 1337 dollar

donderdag 5 april 2018, 17:11 door Redactie, 8 reacties

Google heeft een beveiligingslek in de eigen zoekmachine gedicht waardoor het mogelijk was om zoekresultaten te manipuleren en de onderzoeker die het probleem rapporteerde met 1337 dollar beloond. Een bedrag dat zowel volgens de onderzoeker als critici te laag is voor de ernst van de kwetsbaarheid.

Tom Anthony, vice-president bij een online marketingbureau, slaagde erin om met een domein van slechts 12 dollar zonder eigen content op dezelfde plek in de zoekresultaten te komen als Amazon, Wallmart en andere grote bedrijven. Het gaat in dit geval om waardevolle zoekresultaten. Voor sommige van deze zoekwoorden wordt zo'n 1 dollar per click betaald en bedrijven geven maandelijks grote bedragen uit om als advertenties bij deze zoekwoordente verschijnen. Anthony wist door de kwetsbaarheid dit zonder kosten te doen.

Het bleek mogelijk te zijn voor een aanvaller om bij Google een XML-sitemap in te dienen voor een website waarvoor hij niet geauthenticeerd was. Door middel van hreflang-tags in dit bestand en redirects op de website van het slachtoffer was het mogelijk om de zoekresultaten te manipuleren en verkeer naar de malafide site te leiden. Google maakt van hreflang-tags gebruik om te kijken welk internationale versies van dezelfde webpagina bestaan.

Voor zijn aanval maakte Anthony een zogenaamde sitemap aan die werd gehost op het domein "evil.com", maar alleen url's voor het domein "victim.com" bevatte. Deze url's bevatten weer hreflag-vermeldingen voor een gelijkwaardige url op evil.com, die zich voordeed als de Amerikaanse versie van victim.com. Vervolgens maakte Anthony gebruik van een open redirect url op victim.com om de sitemap via Googles pingmechanisme aan te melden. Het is mogelijk om een sitemap via het bestand robots.txt op de webserver aan te melden of via een speciale ping-url. In dit laatste geval wordt het bestand door de Googlebot opgehaald en verschijnt dit niet in de Google Search Console van de website in kwestie.

Google werd op 23 september vorig jaar door Anthony over het probleem gewaarschuwd. De zoekgigant had echter moeite met het vinden van een oplossing. Uiteindelijk werd het probleem eind maart verholpen. Voor zijn werk kreeg Anthony een beloning van 1337 dollar. Een bedrag dat de onderzoeker aan de lage kant vindt, zo laat hij op Hacker News weten. Anthony krijgt bijval van allerlei anderen die vinden dat Google gezien de impact van deze kwetsbaarheid een hogere beloning had moeten uitkeren.

Image

Reacties (8)
06-04-2018, 00:08 door Anoniem
Als ik aan 1337 denk moet ik meteen aan LEET denken.
https://nl.wikipedia.org/wiki/Leet
06-04-2018, 08:30 door Anoniem
Door Anoniem: Als ik aan 1337 denk moet ik meteen aan LEET denken.
https://nl.wikipedia.org/wiki/Leet

Goh. Beetje teveel voor woorden wat jij daar zegt.
06-04-2018, 08:41 door Anoniem
Door Anoniem: Als ik aan 1337 denk moet ik meteen aan LEET denken.
https://nl.wikipedia.org/wiki/Leet

-slow claps- Wat een toeval dat het precies dat bedrag is! Man wat ben je goed!
06-04-2018, 09:56 door Anoniem
Als ik aan 1337 dollar denk voor het vinden van een beveiligingslek moet ik lachen om de gierigheid van die club.
08-04-2018, 10:46 door Anoniem
Door Anoniem: Als ik aan 1337 denk moet ik meteen aan LEET denken.
https://nl.wikipedia.org/wiki/Leet
Wow, jij moet iets met deze ondzoekskills gaan doen!
09-04-2018, 08:40 door Anoniem
Ik heb ooit eens een xss gevonden op google.com. Meer dan een bedankje en een eervolle vermelding op een pagina van google zat er in die dagen nog niet in. Was wel binnen een paar uur gepatched trouwens.
11-04-2018, 21:11 door Anoniem
Voor net melden van een bug in de e.dentfie r2 van ABNAmro kreeg ik een tientje! (in euro's)
11-04-2018, 21:31 door attyvandelden
Onlangs heb ik een bug gemeld in de e.dentifier 2 van ABNAmro.
Mijn beloning was een boekenbon van een tientje!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.