La vulnerabilità, scoperta da un gruppo di "Detectify", risiedeva nella Toolbar Button Gallery, che permette agli utenti di personalizzare le proprie toolbar con nuove icone. La creazione permette l'upload di file XML e quindi ci è voluto relativamente poco a provare il caricamento di file per così dire "particolari".
Si è così scoperto che questa feature di Google è vulnerabile alla XML External Entity (XXE), che permette a un malintenzionato di sfruttare un file XML configurato ad hoc, per caricare funzionalità compromettenti il normale funzionamento di una applicazione web.
Questa vulnerabilità non era neanche tanto subdola, dopotutto...
I ricercatori hanno spiegato, in un post sul loro blog, che la vulnerabilità risiede nel motore di parsing dei file XML, che se non è ben scritto, si limita ad eseguire quello che gli viene dato in pasto, sia esso un XML che aggiunge un nuovo pulsante alla toolbar o uno che ha cattive intenzioni. Con file malevoli, si possono verificare problemi di "accesso ai file locali, compresi SSRF e file remoti, Denial of Service e perfino esecuzione di codice remoto".
I ricercatori hanno quindi provveduto a creare un file XML apposito ed a caricarlo sul servizio di Google. Il risultato è stato quello di ottenere l'accesso ai server di produzione della casa di Mountain View, permettendogli di raggiungere i file contenuti negli indirizzi "/etc/passwd" e di "/etc/hosts".
I ragazzi di Detectify hanno così comprovato di poter ottenere l'accesso a qualsiasi altro file sul server di Google usando questo exploit. Come è naturale, hanno provveduto ad informare Google della falla; una ventina di minuti dopo aver informato il colosso dell'IT, hanno ricevuto una risposta dal team di sicurezza di Google, che chiedeva dettagli ulteriori sul problema rilevato.
Negli scambi di e-mail seguenti, il team di ricercatori ha chiesto quanto potesse valere la taglia su una simile scoperta, ottenendo come risposta una simpatica GIF:
È un po' come vincere alle slot machine, ma ci vuole cervello...
Come scritto sul blog, "le bottiglie (o qualsiasi altra cosa caschi fuori) valgono 10.000 dollari, abbastanza per coprire le spese di un viaggio attraverso l'Europa". Al cambio fanno poco più di 7.000€. Pare che i ragazzi di Detectify si siano appena guadagnati una bella vacanza..