image

Google hekelt false positives door third-party dependency scanners

dinsdag 17 september 2024, 12:16 door Redactie, 8 reacties

Google is niet te spreken over third-party dependency scanners die claimen dat er kwetsbaarheden in de producten van het techbedrijf aanwezig zijn, terwijl dat niet het geval is. Daardoor ontvangt Google naar eigen zeggen irrelevante bugmeldingen van beveiligingsonderzoekers. Een dependency scanner kijkt welke software op een host geïnstalleerd is en of daar bekende beveiligingslekken in voorkomen.

Volgens Google komt het vaak voor dat deze scanners kwetsbaarheden rapporteren die eigenlijk false positives zijn of dat het om zaken gaat die Google niet als 'security relevant' beschouwt. Het techbedrijf is nu met een blogposting gekomen om beveiligingsonderzoekers erop te wijzen om alleen zaken in Googles producten te melden die security relevant zijn.

Erik Varga van Google stelt dat de false positives die de scanners genereren in vier categorieën te verdelen zijn, namelijk ingetrokken kwetsbaarheden, onjuiste versies, verkeerd platform en niet security relevante meldingen. "De bevindingen van dependency scanners moeten met een korreltje zout worden genomen, aangezien er veel factoren zijn die beïnvloeden of een kwetsbaarheid in een programma op het gescande systeem van toepassing is", aldus Varga. Google hoopt dat de nu gegeven uitleg voor betere bugmeldingen van onderzoekers zal zorgen.

Reacties (8)
17-09-2024, 13:17 door Anoniem
Dat heb ik andersom ook, een hekel aan regels en vereisten die andere partijen -met name Google- ineens verzinnen,
waarbij veiligheid bij mij een groot vraagteken blijft - tenzij het op half-klandestiene wijze veiligstellen van een verdienmodel is.
17-09-2024, 13:19 door Anoniem
Google verbergt zich maar al te graag achter whitelisting,
maar daar hoor ze weer niet over.
Ik blokkeer alles bijv. van Google Tag Manager. U ook?
17-09-2024, 13:41 door Anoniem
Google die teveel spam ontvangt? Het bedrijf dat je vol met ads propt en hun monopolie misbruikt om adblockers weg te krijgen? Laat ze nog maar wat extra meldingen ontvangen denk ik dan ;)
17-09-2024, 16:04 door Anoniem
*kuch* een false positive door Google: https://www.virustotal.com/gui/file/8a157770b51f1ca399233c24a14223f42f637d900826c12bd1db56cf22daccbd/detection
17-09-2024, 16:50 door Anoniem
Google is hier blindt de enige in. Als ik een pentest rapport onder ogen krijg of de resultaten uit een verplichte tool, is dit ook een van de grootste problemen. Tools kunnen lang niet altijd de juiste versies van software bepalen waardoor je dus altijd opnieuw moet kijken waar het eigenlijk over gaat en of het wel klopt.
Daarnaast zijn er “kwetsbaarheden” in libraries die zich alleen voordoen bij een bepaalde manier van gebruiken in de software, elke keer als je daar een melding over krijgt moet je weer controleren en uitleggen dat het een false positive is…
17-09-2024, 16:52 door Anoniem
Door Anoniem: Google verbergt zich maar al te graag achter whitelisting,
maar daar hoor ze weer niet over.
Ik blokkeer alles bijv. van Google Tag Manager. U ook?
Ja, zo ook de 'fonts' van Gstatic in dit kader. Stalkware noem ik het. Google is al meer dan 15 jaar bij machte het internet serieus te vervuilen. Dan kun je nagaan wat er by default allemaal in hun produkten/apps zit. Goed dat die 'third party dependency scanners' in toenemende mate worden ingezet, zo blijkt.
17-09-2024, 17:38 door Anoniem
Door Anoniem: Google is hier blindt de enige in. Als ik een pentest rapport onder ogen krijg of de resultaten uit een verplichte tool, is dit ook een van de grootste problemen. Tools kunnen lang niet altijd de juiste versies van software bepalen waardoor je dus altijd opnieuw moet kijken waar het eigenlijk over gaat en of het wel klopt.
Daarnaast zijn er “kwetsbaarheden” in libraries die zich alleen voordoen bij een bepaalde manier van gebruiken in de software, elke keer als je daar een melding over krijgt moet je weer controleren en uitleggen dat het een false positive is…
Ja en dat hoort bij het vak dat je risico's afweegt en uitlegt wat geen risico is. En als je dat standaard verhaal van bekende false positives vervolgens in een profiel zet als exclude komen ze ook niet in je reports naar voren.

Maar daar gaat het vaak mis bedrijven die te lui zijn hun quickscans bij te stellen bij de eerste run. Google kan nog zo mooie uitleg geven je moet per bedrijf afwegen wat wel en niet een risico is en niet luisteren naar een irrelevant le partij als Google als het gaat om jou quickscans en bedrijfs situaties.

Ik zou blij zijn met false positives omdat A scanner dus werkt en B situaties kunnen veranderen wat eerder een false positive was kan door software wijziging of een bepaalde extra module ineens wel een relevante cve worden.
18-09-2024, 10:06 door Anoniem
do as i say, dont do as i do
i'm not evil (insert bond villain laughter)...
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.