googleの脆弱性を見つけて500ドルもらえるかもしれないライフハック   4 comments

Posted at 11:41 am in internet,Security,日記

こんにちは。お久しぶりですね。だんだん暑くなってきました。ぼくはScanに猫の連載をさせていただいたりしながら慎ましやかに暮らしておりますよ。

暑いので仕事はあんまり募集していませんが遊んでくれる人は大歓迎ですよ。

cats_2013-05-13_21

おはようございます。

さて、今日は去年の年末にGoogle mapsのXSSを見つけて報告してとっくに修正されていたにもかかわらず、なかなかgoogleのReword Recipientに掲載してもらえてなかったのですが、ようやく掲載されたのを記念して(もう2度とないと思いますからね)見つけたXSSと報告のあれこれについて書こうと思います。

とはいえ脆弱性としては別に大したもんではないのですが、まあ、そこは記念というか自慢というか、いいじゃないですか。

ということで解説します。
見つけたのはgoogle mapsのスマホ用ページです。1ヵ所シングルクオーテーションのエスケープが抜けてることがあって、そのため検索語にシングルクオーテーションが入るとスクリプトが実行されるみたいなかんじです。当初報告したときは検索してから2回クリックしないとスクリプトが実行されない、しかも検索結果に写真がが出る必要がある、みたいなかんじで、こんなもん攻撃に使えないよね、でも一応報告しとくよねーgoogleだし。みたいな軽い気分の報告です。

google-iphone-01

アイコンをクリック

google-iphone-02

写真をクリック

google-iphone-03

スクリプトの実行

報告すると

「Nice catch! I’ve filed a bug and will update you once we’ve got more information.」

みたいな返事が来たわけです。
お、これはいい感触。

で、いろいろいじってたら確実に任意のスクリプトが実行できるURLを見つけたので、再報告。これでお年玉もらえるんじゃね?

googlemaps_exploit-4

とここまでが去年の12月までの話です。

正月休み中わくわくしていたのですが、待てど暮らせど、2月になっても連絡が来ないわけですよ。

なにぶん初体験なので、ネットでは2週間もすれば返事がきてうんちゃらみたいなことが書いてるわけですが、まあ、実はもういろいろ手続き終わってるけど連絡先間違えてたりするのかなあ的なことを好意的に考えるわけです。

なので、今度はもう1つ、以前から知ってたけど脆弱性かどうかわかんないし、ほぼ攻撃には使えないものgoogle mapsの怪しいところを送って様子を見てみるわけです。

説明が面倒なので動画を作って送りました。

すると、また「Nice Catch」メールが届くわけです。定型だったんですね。

そして一週間ほど経つと、あとから送った方に対して

「The panel has determined this bug didn’t meet the threshold for a reward. 」
(訳:お金あげるほどのもんじゃなかったよ)

って返事が。

で、前のものが解決される前にこっちが先にHonorable Mentionに掲載されました。

やったー!

じゃなくて、
前のは??
前のお小遣いもらえそうなものは???

もしかするとすっかり忘れ去られてるんじゃね?
Honorable Mentionだけじゃやだよねー。

ということで前のどうなった?というのを翻訳サイトを駆使して送るわけですよ。

するとすぐに返事が来ました。

「Congratulations! This vulnerability is eligible for a reward of $500.」

やっぱ忘れてたやろ!

というのが2月のお話です。

そしてまた2か月が経ち、2013 1Qも終了し、すっかり忘れていたのですが、そろそろ掲載されてるかもしれないな、と思い、見ても載ってません。

また「いつ載って500$もらえんの?」とプッシュです。

すると「来週のアップデートで2012 4Qのところに載るよ」と。
出前遅れてる中華料理屋みたいな返事ですよ。

今出ました!みたいなもんですよ。

で、5月になってようやくReward Recipientsの方にも掲載されました。わーい。

Adsenseとか容赦なく対応するので厳密そうなイメージだったgoogleも意外といい加減だったんだなあというこの半年でした。

何かの拍子にgoogleの脆弱性が見つかったら届けると500ドルもらえるので、見つけた人は届けてみてはいかがでしょうか。名前も掲載されてホワイトハッカー(笑)とか名乗るのにも箔が付いていいかもしれませんよ。

ちなみに500$の方はまだ届いておりません。国民健康保険税の支払いが迫っておりますので、早くいただける、もしくは区役所に減免の相談をしていただけるとうれしいです。

Written by bogus on 5月 15th, 2013

Tagged with