Home Sociedad Falla en Google Maps abrió la puerta a ataques de secuencias de...

Falla en Google Maps abrió la puerta a ataques de secuencias de comandos cruzados

Un investigador ganó un doble pago de 10.000 dólares por un fallo de cross-site scripting (XSS) que encontró en Google Maps. Ganó 5.000 dólares inicialmente. Pero cuando el parche de Google se quedó corto, el investigador ganó otros 5.000 dólares por descubrir el desvío a la solución.

Zohar Shachar, jefe de seguridad de aplicaciones en Wix.com, reportó la falla a Google el 23 de abril, indicó que un problema de cross-site scripting estaba presente en la forma en que Google Maps maneja las capacidades de exportación.

Después de crear un mapa, el servicio permite exportar este contenido en diversos formatos, uno de los cuales es el KML, que utiliza una estructura basada en etiquetas y se basa en el estándar XML.

Según Shachar, el nombre del mapa de este formato de archivo está contenido en una etiqueta CDATA abierta y por lo tanto el código “no es procesado por el navegador”. Sin embargo, al añadir caracteres especiales como “]]>”, fue posible escapar de la etiqueta y añadir contenido arbitrario de XML, lo que llevó a XSS. El buscador luego reportó sus hallazgos a Google.

Sin embargo, ese no fue el final del problema de seguridad. Después de que Google envió al buscador un mensaje diciendo que el fallo del XSS se había resuelto, el buscador ejecutó el escaneo abriendo Google Maps, introduciendo la misma carga útil y viendo los resultados.

Shachar dijo que lo que vio era “confuso” ya que el arreglo sólo incluía añadir una nueva marca CDATA para cerrar la marca original. Con dos etiquetas CDATA abiertas, por lo tanto, eludir la corrección sólo tomaría dos etiquetas CDATA cerradas

Unas dos horas después de enviar una nueva consulta con sus hallazgos, el investigador fue informado de que el caso estaba siendo reabierto.

El primer problema con el XSS fue reportado a Google el 23 de abril. El 27 de abril, el equipo de VRP de Google aceptó la vulnerabilidad como legítima, emitiendo el primer arreglo y recompensa el 7 de junio. La desviación del parche original fue reportada el mismo día, y después de que se resolvió, el buscador recibió su segundo pago el 18 de junio.

Cada vulnerabilidad rindió a Shachar 5.000 dólares, para una recompensa total de 10.000 dólares.

“Desde el incidente del secuestro de Google Maps, siempre he empezado a revalidar las correcciones, incluso para las cosas sencillas, y ha valido la pena”, dice Shachar. “Te animo de todo corazón a hacer lo mismo.”

Con información de: The Hacker News.