Especialista israelense em segurança cibernética Zohar Shachar falou sobre sua descoberta da vulnerabilidade XSS no Google Maps em 2019, e então descobri que o Google não conseguiu consertar na primeira vez.
O problema estava relacionado ao recurso do Google Maps que permite aos usuários criar seus próprios mapas. Esses mapas podem ser exportados em vários formatos, incluindo linguagem de marcação Keyhole (KML), que é baseado em XML e comumente usado para exibir dados geográficos no Google Earth, e assim por diante.
Ao examinar a resposta do servidor ao exportar um mapa usando KML, o pesquisador descobriu um XML que continha, entre outras coisas, uma tag CDATA aberta. Shahar tentou fechar a tag com caracteres especiais e descobriu que adicionar “]]>” no início da carga útil (no início do nome do mapa) ajuda a ir além do CDATA e adicionar conteúdo XML arbitrário.
Tudo isso acaba levando a uma vulnerabilidade XSS. Por exemplo, um invasor pode criar um novo mapa no Google Maps, equipá-lo com uma carga útil XSS, torne-o público e exporte-o como um arquivo KML, e copie o link de download.
“Depois disso, o hacker só poderia enviar o link para a vítima e esperar que a vítima clicasse nele, lançar o exploit e executar o código malicioso em seu navegador”, - diz Zohar Shachar.
O pesquisador relatou imediatamente sobre o problema ao Google, mas a história não terminou. Quando Shahar recebeu notificação de que a vulnerabilidade foi corrigida e ganhou $5,000 por descobrir o erro, ele decidiu verificar se era assim e ficou surpreso ao ver que o “correção” consistiu em adicionar outra tag CDATA.
Portanto, para ignorar as duas tags CDATA e esta correção, o invasor só teve que fechar as tags duas vezes, e a exploração funcionou novamente.
Duvidando que ele entendeu o que estava acontecendo corretamente (uma solução alternativa tão simples para o patch parecia improvável para Shahar), mesmo assim, o pesquisador contatou o Google novamente e explicou que a correção parecia não funcionar. Como acabou, Shahar estava completamente certo. Apenas dois dias depois, o erro foi completamente corrigido, e o pesquisador recebeu outro $5,000, pois ele descobriu tecnicamente outro problema semelhante.
“Após o incidente de desvio do Google Maps, Eu sempre verifico novamente os patches, mesmo para as coisas mais simples, e vale a pena. Eu sinceramente peço a todos vocês que façam o mesmo”, - escreve o pesquisador.
Deixe-me lembrá-lo disso O Google Maps ajuda os usuários a se protegerem do COVID-19.