✍️ Статья История одного репорта в Google или как манипулировать данными в Google Maps. Часть 2

The 146X Project Dublikat Web Studio Avram Lincoln AL Service Navigator Knyaz

BlackPope

Команда форума
Модератор DeepWeb ✔️
PR-Group DeepWeb 🔷
Регистрация
27.04.2020
Сообщения
230
Что имеем в результате нашего эксперимента: вроде получается, что можем манипулировать данными любой организации, которые выдает карты Google, хоть Google и пишет, что предложенные изменения рассматриваются, но по факту они применяются буквально моментально (проходит 2-3 минуты). В конце статьи будут ссылки на видео, если кто-то скажет, что это все подстроено и Компания Google не могла так делать. Но суть вопроса от этого не поменялась.

И далее наступает самое интересное

Как человек работающий в ИБ я знал, что у Google есть программа bug bounty.

https://www.google.com/about/appsecurity/reward-program/ я в первый день как нашел ошибку, сразу отправил отчет о найденной ошибке и стал ждать. Первые дня 2 я надеялся, что со мной свяжутся и скажут что-то типа «Дружище ты молодец, мы благодарны тебе за то, что ты дал знать об этом». Все то время, что я ждал, тестировал и смотрел как продолжает работать эта дырка, я стал замечать, что предложенный мною вариант перестал работать через день после моего репорта. Я подумал «какие они молодцы закрыли ошибку и теперь нельзя манипулировать данными организаций просто так». Так как со мной не выходили на связь уже 5 день, а я вижу, что мой сценарий не работает, я начал дальше копаться в картах Google, чтобы понять, как теперь применяются изменения и можно ли все это еще раз повторить. Но об этом чуть позже, не будем нарушать последовательность моего рассказа.

Спустя 7 дней от подачи отчета мне на конец то написали.

2T_g46ysC8E.jpg


Вот тока смысл этого письма я так и не понял до сих пор, компания Google признает, что я нашел ошибку и уточняет «Вы обнаружили ошибку. Все изменения, которые вы вносите в панель, на самом деле являются изменениями, которые вносятся в Карты Google, откуда и берутся данные панели.» и объяснения «Это все еще подпадает под область, о которой я упоминал ранее. Возможность предложить редактирование в Картах работает, как и предполагалось. Изменения, внесенные здесь, являются обзором Классификатора машинного обучения в дополнение к команде рецензентов, которые просматривают изменения, которые кажутся подозрительными или вредоносными по своей природе»

Кто ни будь из вас вообще понял, что они имели в виду?!**

Лично я нет, поэтому ответил им, что мол "дайте знать исправили ли вы все до конца, чтобы я мог дальше ковырять эту проблему и убедиться, что она решена."

Несмотря на все это, я начал дальше отрабатывать другие возможности манипуляцией информацией в картах Google. Но как я понял, из их ответа что мол у них МЛ который не дает вносить изменения просто так + команда цензоров, которая проверяет изменения.

Я ушел с головой в изучение логики Google карт. Обо всем писать не буду, но могу констатировать печальный факт их МЛ работает плохо и если есть, какие то команды рецензентов, то они явно не готовы предотвращать манипуляции с данными в Google картах.

Кульминация​

Я покажу как мне удавалось манипулировать данными после заявления Google о том, что у них все работает корректно.

По первому сценарию внесения изменений у меня ничего не получилось т.к. команда Google явно включила какую-то обработку изменений т. к. теперь выдавалось сообщение, что внесенные мною правки находятся на рассмотрении и они не применялись сразу и даже после долгого ожидания (до 24 часов). Но как говорится, не зря же мы изучали логику работы карт.

Попробуем проверить манипуляцию на Контур СКБ, т.к. у них много представительств в разных регионах.

На этот раз заходим в карты Google и ищем СКБ Контур, так же предлагаем внести изменения.

5_7khZJouJ4.jpg


Напомню, что официальный сайт СКБ контур https://kontur.ru/

h_rv9hSoLC4.jpg


Меняем якобы на конкурента, который не аффилирован к СКБ контур:

xazJ6UpdtnA.jpg


Далее «Отправить» и ждем. Делаем поиск в поисковике Google Chrome и смотрим карточку:

L5h233YuetA.jpg


Ждем пару часов и видим, что уже есть какой те прогресс. Наверное, Google отправила оповещение собственнику сайта или в организацию, подумал я и стал далее изучать. Было принято решение ковырять дальше карты ведь МЛ как-то же обрабатывает изменения.

OnPyyK7fIk4.jpg


Через 10-12 часов ковыряний я имел успех в своих манипуляциях (описывать конкретный сценарий здесь из соображений безопасности не буду), но факт на лицо мне удавалось производить манипуляции и далее.

btniEn2qQc8.jpg


Итог​


Мне удалось манипулировать данными организации после того, как мне ответили из Google, что все работает нормально и это нормально для карт Google. Но в добавок еще и выдача в поиске выдавала нашу манипуляцию в карточке. И тут надо отметить, что изменения отражаются на Google картах по регионам, в которых можно вносить изменения. Что это значит? На момент моего исследования я находился в Калининградской области соответственно все изменения, которые я вносил, применялись тока на Google картах этого региона и поисковая выдача выдавала карточку организации для этого региона.

kq62D2NXmdw.jpg


По итогу я понял, что компания Google что-то исправила в результате моего первого отчета, но не так хорошо, как это нужно сделать. Я продолжал им писать и говорить: «Ей, парни. Кто ни будь свяжитесь со мной, у вас не работает это должным образом, а до сих пор могу манипулировать данными в Google картах!». Последнее что я получил от них это

npDv1Y-Zd1o.jpg


Меня это очень обидело, скажем честно. Столько времени потрачено на описание ошибки для отчета, на эту переписку с поддержкой.

И всем тем кто в будущем захочет подавать отчеты об ошибках в программе Google делайте это лучше с почты, которая привязана к структуре Google, иначе вас ждет одно разочарование (по итогу очень долго отвечают на письма не с их адресацией + вам не дадут доступ к панели отслеживания https://issuetracker.google.com/ там идет привязка к почте с которой вы отправляете отчет.

Вектор атаки​


После того как я описал саму проблему было бы не плохо поговорить об опасности, которую представляет эта проблема. В своем отчете в Google я указал разные вектора атак и использование этой ошибки. Рассмотрим здесь только пару вариантов в подтверждение того, что это действительно может быть важной ошибкой.
  1. Предположим, что мы создаем клон официального сайта Microsoft (или любой другой большой организации) но с небольшими хитростями (можно сделать подмену символов, можно сделать похожее написание или похожий адрес не суть), далее мы с помощью описанной мною ошибки манипулируем данными для определённого региона в картах Google (делаем подмену официально сайта, на созданный нами), теперь пользователь будут перенаправляться на наш подменный сайт с помощью Google карт в том регионе и поисковой выдаче Google для того же региона, те кто будет использовать для перехода карточку организации и жамкать на кнопку «Сайт». Далее фантазия безгранична, что делать с пользователями, которые перешли на подменный ресурс? Начиная от сбора данных, которые пользователи могут вбивать на этих ресурсах, думая что они на официальном сайте ведь они прошли по ссылке, которую выдали Google карты и поисковая система Google, заканчивая тем, что можно просто размещать вредоносы, которые буду скачивать пользователи).
  2. Таким же образом можно просто перенаправлять пользователей на сайты конкурентов лишая клиентуры организацию для определенного региона (таргетированно).
  3. Поехали мы в командировку, хотим остановиться допустим в Hilton Denver City Center. Открываем карты Google и ищем нужный нам отель переходим на сайт (где уже есть сюрприз).
Z85PG1FEIe8.jpg


Делаем клон сайта для сбора данных которые возможны и потом (после заполнения всех форм) перенаправляем всех на официальны сайт.

z8sLZ7CDVBs.jpg


Я не буду описывать все возможные сценарии, могу только сказать, что пару таких вариантов мы проверили и они работают. А самая прелесть в том, что это можно делать на определенный период времени и таргетированно на определенные регионы (куда мы вносим изменения), чтобы официально ничего не заметили. То есть мы можем поменять электронный адрес и официальный сайт на то, что, хотим на определенный промежуток времени и в определенном регионе, а потом все вернуть как было, чтобы владельцы организации не заметили эту подмену на выдаче карт Google. Так же хочется отметить, что все приложения которые берут данные из Google карт или используют их в своей выдаче берут и все манипуляции, которые проходят на Google картах (отдельный привет Booking.com, TripAdvisor и др.).

Вывод​


Что по итогу, что я хотел здесь сказать. Это, наверное, больше крик души, потому что жаль видеть, как относятся корпорации к твоим отчетам об ошибках. По итогу на сегодня описанная мною ошибка позволяла манипулировать данными на Google картах. Из программы Google bug bounty. https://www.google.com/about/appsecurity/reward-program/ ответ «this report is not in scope for our VRP». То есть ни спасибо, ни чего, и нет упоминания, что они что-либо правили, тока что все работает как надо! Я не являюсь профессиональным "Багбаунтером", но занимаюсь время от времени этим ради фана, может я и не прав и Google карты действительно работают как надо. Но написав эту статью я хочу, чтобы эта информация стала публична (организации задумались о таком векторе атаки) и Google все-таки поправила эту ошибку до конца (ограничили действия об изменении данных организации без ее ведома). И да я бы не отказался, если все-таки компания Google хоть как-то сказала: «Спасибо» за мой отчет и потраченное время, но кто я такой в конце концов.

EgHLlf-GRuE.jpg
 

📌 Золотая реклама

AnonPaste

Верх