Un bug de Google Maps ouvrait la porte aux attaques XSS

Un chercheur a été récompensé avec 10 000 $ pour une faille de script intersite (XSS) qu’il a trouvé dans Google Maps. Il a gagné 5 000 $ au départ. Mais lorsque le patch de Google s’est avéré être un échec, le chercheur a gagné 5 000 $ de plus pour avoir aussi découvert un contournement du correctif.

Zohar Shachar, responsable de la sécurité des applications chez Wix.com, a signalé la faille à Google le 23 avril et a reçu une récompense de 5 000 $ peu de temps après. Google a divulgué publiquement le problème, le déclarant «résolu» le 7 juin. Quelques minutes après que Shachar ait été informé du correctif et de la prime de paiement, il a déclaré avoir trouvé un contournement pour le correctif de Google Maps. Cela lui a finalement valu 5 000 $ supplémentaires.

“Quelque chose en rapport avec l’ennui de ce moment particulier m’a amené à surmonter mon état d’esprit initial de ‘c’est Google, ils savent comment réparer un XSS’ et à essayer de vérifier le correctif. Dans les 10 minutes qui ont suivi, j’avais un contournement en main, et quelques jours plus tard, une double prime sur mon compte », a écrit Shachar dans un article de blog décomposant la faille de Google Maps publiquement pour la première fois.

google maps

La vulnérabilité initiale provenait d’une fonction de Google Maps qui permet aux utilisateurs de créer leur propre carte, a déclaré Shachar. Après avoir créé la carte, les utilisateurs peuvent l’exporter dans plusieurs formats. L’un de ces formats est Keyhole Markup Language (KML), un format de type XML pour exprimer l’annotation géographique et la visualisation dans des cartes 2D.

Lorsque la carte de Google Maps a été exportée au format KML, Shachar a trouvé que la réponse du serveur contenait une balise CDATA. Les balises CDATA indiquent qu’une certaine partie du document est constituée de données de caractère général (plutôt que de données autres que des caractères) et garantit que le code ne sera pas traité par le navigateur. Cependant, il a constaté qu’en ajoutant des caractères spéciaux, la balise CDATA peut être facilement «fermée».

«Plus précisément, en ajoutant ‘]]>’ au début de votre charge utile (c’est-à-dire au début du ‘nom de la carte’), vous pouvez vous échapper du CDATA et ajouter un contenu XML arbitraire (qui sera traité en tant que XML) ce qui entraîne une faille XSS », a déclaré Shachar en expliquant la faille de Google Maps.

Pour exploiter cette faille de Google Maps, un attaquant pourrait créer une nouvelle carte vide, la renommer à l’aide de ces caractères spéciaux et ajouter une charge XSS pour SVG. SVG (ou Scalable Vector Graphics) est un format d’image vectorielle basé sur XML. Ensuite, ils doivent définir les autorisations de la carte sur «public», permettant à tout le monde d’y accéder, de l’exporter au format KML et de copier le lien de téléchargement. Ils peuvent ensuite envoyer le lien de téléchargement à leur victime. Une fois que la cible est poussée à cliquer sur le lien (via l’ingénierie sociale), l’attaque XSS est lancée.

Google Maps était encore vulnérable après le premier patch

Après que Shachar ait signalé la faille, Google a déclaré qu’elle avait été corrigé. Cependant, Shachar a ensuite découvert un moyen de contourner le patch. En effet, pour corriger la faille, Google semble avoir ajouté une balise CDATA supplémentaire, ce qui signifie qu’un attaquant pourrait simplement ajouter deux balises de fermeture CDATA, a déclaré Shachar.

google maps

«J’ai été vraiment surpris que le contournement soit si simple. Je l’ai signalé si rapidement (il y’a eu littéralement 10 minutes entre la vérification de ma boîte aux lettres et le signalement du contournement), juste après avoir envoyé cet e-mail, j’ai commencé à douter de moi », a déclaré Shachar.

Google a continuellement développé ses programmes de primes aux bogues de sécurité. Le géant de la technologie a récemment augmenté le montant des récompenses dans son programme de primes aux bogues pour les rapports axés sur les attaques potentielles dans le domaine de l’abus de produits, pour atteindre 13 337 $ par rapport.

L’année dernière, Google a lancé le programme de récompense pour la protection des données des développeurs, qui offre jusqu’à 50 000 $ pour les rapports sur les violations des politiques de confidentialité du programme Google Play, Google API et Google Chrome Web Store Extension. Toujours en 2019, Google a triplé les paiements de récompense les plus élevés pour les failles de sécurité dans Chrome, de 5000 $ ils sont passés à 15 000 $ et a doublé le montant maximal de la récompense pour les rapports de haute qualité en les faisant passé de 15 000 $ à 30 000 $.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x