סייברארק חשפה חולשה בממשקי API של גוגל

במחקר של מעבדות סייברארק, נחשפה חולשה במפתח החינמי שיצרה גוגל כדי להגביל את מספר הבקשות של מתכנתים לגישה למידע של גוגל, זאת כדי שלא יציפו אותה בבקשות למידע. מעבר למכסה, מתכנתי אפליקציות נאלצים לשלם. החולשה שגילו מעבדות סייברארק במערכות גוגל יצרה כר פורה למתכנים לגישה בלתי מוגבלת למאגרי המידע של גוגל, ובחינם. מדובר בין היתר בגישה למאגרי המידע ב-Youtube, Google data sheets, וב-Google maps.

במחקר מתואר כיצד החוקרים הצליחו למצוא "מפתח צללים" משוכפל. באמצעות שינוי קטן המפתח נחשב חוקי ואיפשר לקבל נתונים מגוגל ללא הגבלה ומבלי לשלם, כיוון שגוגל לא מכירה את המפתח הזה, אבל מבחינתה זה חוקי.

חוקרי סייברארק מצאו שירות בגוגל שנקרא Google's JavaScript Loader, שאומר אם המפתח של מתכנתים הוא תקין או לא.

דרך שירות זה ניתן לנצל מפתחות חוקיים עבור יצירת "מפתחות צללים". החוקרים לקחו מפתח ולידי אחד – וגילו שעבור מפתח שמסתיים למשל באות A, כל שלוש הסיומות הבאות B, C, D – תקינות.

במסגרת הבדיקה, החוקרים לקחו מפתח חוקי "רגיל" של גוגל – עשו מספר בקשות גישה בשעה, עד שהגיעו לסף המכסה ונעצרו. אח"כ לקחו "מפתח צללים", עברו את אותה המכסה של גוגל, אך המערכת לא עצרה לבקש תשלום נוסף. כך נעשו מספר ניסיונות עם מפתחות שונים.

מה הסיכון? גוגל מבצעת דרך קבע מעקב אחרי מפתחות API של מתכנתים, אך החוקרים עקפו את מערכת התשלום של גוגל באמצעות מפתחות צללים. בנוסף, מפתחים רבים בעולם, שלא מודעים לסטנדרטים של סקיוריטי משאירים לעיתים את הקוד שלהם במקומות כמו GitHub – או מעבירים אותו לחברים שלהם. אותם חברים יכולים לשכפל, ליצור מפתחות צללים ולמכור אותם – וכך להימנע מתשלום לגוגל מבלי להתגלות.

בעקבות פניית סייברארק, גוגל דיווחה על תיקון החולשה שנחשפה. בסייברארק מאשרים כי כעת לא ניתן יותר לדעת אם מפתח הוא חוקי או לא, וגוגל חוסמת מפתחות שאינם חוקיים.