Il bug tracker di Google era vulnerabile

Identificate tre falle di sicurezza nel sistema centralizzato di Mountain View per la gestione delle vulnerabilità. Un problema potenzialmente gravissimo che è stato però risolto dalla corporation in pochissimo tempo

Roma – Nelle scorse ore il ricercatore rumeno Alex Birsan ha scovato quello che non ha esitato a definire il “Santo Graal dei bug di Google”, un trittico di vulnerabilità potenzialmente in grado di aprire le porte al sistema centralizzato usato dalla corporation per tenere traccia dei bug presenti all’interno dei suoi stessi prodotti software.

La piattaforma, nota come Google Issue Tracker o anche Buganizer , funziona come un forum dove l’accesso ai rapporti sui bug è strettamente controllato: i partecipanti possono accedere solo ai dati sui bug che riportano o a quelli che devono correggere e nient’altro.

Nel caso di Birsan, invece, le tre vulnerabilità scovate in Buganizer avrebbero potuto essere usate per accedere a qualsiasi informazione presente sul forum : la prima falla permetteva di registrare una casella di posta “@google.com” basata sullo schema di designazione della piattaforma, la seconda consentiva di ricevere notifiche sui bug a cui il ricercatore non avrebbe dovuto avere accesso e la terza forzava la API di Buganizer ad aprire l’accesso ad ogni bug presente sul forum.


Le falle individuate da Birsan erano insomma a dir poco gravissime, visto che su Buganizer sono evidentemente presenti bug ancora ignoti al pubblico; non è quindi un caso che Google abbia risposto nel giro di un’ora, correggendo i tre bug e assegnando al ricercatore tre “taglie” dal valore rispettivamente di 3.133,7, 5.000 e 7.500 dollari.

Le vulnerabilità di Buganizer ricordano molto da vicino il problema di sicurezza sperimentato da Microsoft con il suo database di falle nel 2013, anche se in quel caso l’incidente non sarebbe mai divenuto di pubblico dominio senza la rivelazione di cinque ex-dipendenti di Redmond.

Alfonso Maruccia

fonte immagine

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • uomo avvisato mette il tappo scrive:
    attenti cretini
    Non e' una moneta cretini se salta il banco la prendete in XXXX non intervengono gli stati
    • pink scrive:
      Re: attenti cretini
      come fa a saltare il banco visto che il banco non esiste ?
    • Money scrive:
      Re: attenti cretini
      6000 barbonella. Vai a fare i compiti.
    • prova123 scrive:
      Re: attenti cretini
      Il bello che nelle grandi città come Milano, abitate dagli uomini moderni con il sorriso stampato in faccia, hanno installato dei "bancomat" che permettono l'acquisto di bitcoin pagando in euro, ma non il viceversa.... hahahahaA chi resterà in mano il cerino ? Buon anno ... ne avete bisogno!! (rotfl)http://www.affaritaliani.it/economia/bitcoin-anche-la-russia-li-vieta-per-rogoff-la-bolla-potrebbe-scoppiare-503621.html
Chiudi i commenti