Googlevi API ključevi ostaju aktivni i do pola sata nakon brisanja
Pojedini poslužitelji odbijaju ključ u roku od nekoliko sekundi, dok ga drugi prihvaćaju još 23 minute, pokazalo je istraživanje.
Doznali ste kako je vaš Google API ključ dospio u pogrešne ruke. Što ćete učiniti? Obrisati ga, naravno. Pa, imamo loše vijesti: prema sigurnosnim istraživačima u Aikidu, API ključeve moguće je koristiti do 23 minute nakon što su izbrisani. Dovoljno, za primjerice, krađu novca, preuzimanje osjetljivih dokumenata i izvlačenje podataka iz cachea.
Aikido je testirao sigurnosni propust tijekom 10 pokusa tijekom dva dana. U svakom pokusu, istraživači su kreirali API ključ, izbrisali ga, a zatim slali tri do pet potvrđenih zahtjeva u sekundi dok se nakon nekoliko minuta ne bi vratio valjan odgovor.
Od trenutka kada korisnik izbriše Google API ključ do trenutka kada se više ne može koristiti, to se postupno širi Googleovom infrastrukturom. Pojedini poslužitelji odbijaju ključ u roku od nekoliko sekundi, dok ga drugi prihvaćaju još 23 minute.
Napadač koji ima izbrisani ključ može više puta slati zahtjeve dok ne dođe do poslužitelja koji je sporiji od ostalih. Ako je Gemini aktivan, može doći do prenesenih datoteka i što god će naći u cacheu.
Koristeći virtualne strojeve, Aikido je testirao svoje nalaze u tri regije Google Clouda - istočnoj obali SAD-a, zapadnoj Europi i jugoistočnoj Aziji - a zatim su provjerili te rezultate na različite datume. Za svako ispitivanje, Aikido je izbrisao jedan API ključ i paralelno slao zahtjeve sa svakog od tri virtualna stroja.
U ispitivanju su korišteni ključevi s pristupom Geminiju, no isto ponašanje je uočeno s ključevima usmjerenim na druge GCP API-je, kao što su BigQuery i Maps. Google je izgradio brže opozive za druge vrste vjerodajnica. Opozivi vjerodajnica API-ja za Googleov servisni račun šire za oko pet sekundi. Noviji format API ključa Geminija - onaj koji počinje s AQ - širi se za oko minutu.
Google je rekao Aikidu kako ne planira riješiti problem. Smatraju kako je to neizvedivo i ustvrdili kako kašnjenje zbog širenja brisanja ovih ključeva funkcionira kako je predviđeno.
Sličan propust otkriven je u prosincu prošle godine s AWS-ovim ključevima. Vrijeme za zlorabu bilo je u tom slučaju puno kraće (četiri sekunde), ali i to je bilo dovoljno za stvaranje novih vjerodajnica.
