今月まだ一度もブログを更新してないので、とりあえず小ネタを。
GoogleのTranslator Toolkitという、オンラインで共同でドキュメントの翻訳作業ができるツールに存在した、Googleにログイン中のユーザーのメールアドレスを攻撃者に知らせてしまう問題について書きます。
Translator Toolkitは、共同で翻訳作業をしたい人のメールアドレスを指定し、招待することで、アクセス可能な人を制限しながら翻訳作業をすることができるツールです。
アクセスを許可していない人から翻訳ドキュメントのURLにアクセスされても、以下のように、アクセス許可が与えられていないというメッセージが現れ、適切に閲覧制限できているのがわかります。
ところが一方、 victim.masatokinugawa がこのエラーメッセージを見ているとき、翻訳ドキュメントのオーナーの画面には以下のように表示されていたのです。
なぜか、victim.masatokinugawaが閲覧者として表示されています。
ページのソースを見ると、完全なメールアドレスも確認できます。
これは明らかに、閲覧者を表示する機能に問題があります。本来は、閲覧を許可されたユーザーが翻訳ドキュメントを開いている場合だけ、閲覧者として表示するようにすべきです。
この不適切な表示により、Googleアカウントへログイン中のユーザーに、攻撃者の翻訳ドキュメントにアクセスさせることで、攻撃者はアクセス者のメールアドレスを不正に知ることが可能でした。
招待していない側からのアクセスは適切に制限できているのに、招待されていない側が漏洩の被害者になるという、面白いバグだと思います。
この問題は2012年4月2日に報告し、しばらくして修正されました。
またGoogleの脆弱性報酬プログラムにより、$500を頂きました。