Se han
encontrados 3 fallos: uno de spoofing, otro de authentication bypass, y
finalmente uno de revelación de información sensible
El
desarrollador Gergő Turcsányi de Avatao ha encontrado 3 vulnerabilidades en
Google Drive y Fotos, que no guardan relación entre sí, y que permitían acceder
a los ficheros de estos servicios. El descubridor de estos fallos ha sido
recompensado con 4133$ por sus hallazgos.
La primera
vulnerabilidad se trata de un spoofing en la url de invitación para acceder a
Google Drive. Este enlace, que incluye los emails con los que compartir los
ficheros, permite definir el nombre de la persona con la que se compartirá el
enlace, a pesar de no ser una característica pública.
No
obstante, para la explotación de esta vulnerabilidad, se requiere que el
usuario acepte compartir los archivos en la ventana de diálogo. Este fallo ha
sido recompensado con 500$ por Google.
La segunda
vulnerabilidad se encuentra en la API de Google Drive: esta API tiene varios
puntos de entrada que parecen mantenidos por retrocompatibilidad, y que
realizan acciones redundantes. Investigando más al respecto, se ha descubierto
que estas APIs no controlan si el usuario de Google está autorizado a acceder
al fichero, requiriendo únicamente utilizar una sesión de Google.
Esta
vulnerabilidad, que ha sido recompensada con 500$, tiene como limitación que
para obtener el fichero es necesario conocer su ID. Al ser dicho ID una cadena
larga de caracteres y números, limita mucho su explotación.
La tercera
vulnerabilidad, y la más grave de las tres, afecta al proceso de compartir
bibliotecas de imágenes en Google Fotos. El fallo es similar al primer reporte,
pero en este caso no se requiere ninguna validación por parte del usuario,
necesitando únicamente abrir el enlace y autenticarse. El problema se encuentra
en la url de redirección incluida en la autenticación:
Como puede entenderse,
una de las urls contiene a la otra. El fallo radica en el parámetro request de
la petición.
Sólo es
necesario modificar el email, y volver de codificar usando base64, para que un
atacante pueda generar una url con la obtener acceso a la biblioteca de
imágenes. El fallo le ha servido a su descubridor para obtener 3.133$ de
recompensa.
Estas 3
vulnerabilidades ya se encuentran solucionadas, habiéndose arreglado las 2
primeras el 16 de enero, y la tercera el 22 de agosto.
Más información:
How I could
have stolen your photos from Google: https://blog.avatao.com/How-I-could-steal-your-photos-from-Google/
Fuente:
Hispasec