LeakyLooker பாதிப்புகள்

கூகிள் லுக்கர் ஸ்டுடியோவில் ஒன்பது குறுக்கு-குத்தகைதாரர் பாதிப்புகளின் தொகுப்பை சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள் வெளிப்படுத்தியுள்ளனர், அவை பாதிக்கப்பட்டவர்களின் தரவுத்தளங்களுக்கு எதிராக தன்னிச்சையான SQL வினவல்களைச் செயல்படுத்தவும், கூகிள் கிளவுட் பிளாட்ஃபார்மில் இயங்கும் நிறுவன சூழல்களில் இருந்து முக்கியமான தகவல்களைப் பிரித்தெடுக்கவும் தாக்குபவர்களுக்கு உதவக்கூடும்.

குறைபாடுகளின் தொகுப்பு கூட்டாக LeakyLooker என்று பெயரிடப்பட்டுள்ளது. ஆராய்ச்சியாளர்கள் ஜூன் 2025 இல் பொறுப்பான வெளிப்படுத்தல் மூலம் சிக்கல்களைப் புகாரளித்தனர், அதன் பின்னர் பாதிப்புகள் சரிசெய்யப்பட்டுள்ளன. தற்போது, இந்த பலவீனங்கள் நிஜ உலக தாக்குதல்களில் பயன்படுத்தப்பட்டதற்கான எந்த ஆதாரமும் இல்லை.

பாதுகாப்பு ஆய்வாளர்கள் இந்த குறைபாடுகள் தளத்தின் முக்கிய கட்டிடக்கலை அனுமானங்களை குறைமதிப்பிற்கு உட்படுத்துவதாகவும், பல கிளவுட் குத்தகைதாரர்களிடையே தரவை கையாளும் அல்லது பிரித்தெடுக்கும் திறன் கொண்ட முன்னர் அங்கீகரிக்கப்படாத தாக்குதல் வகையை அறிமுகப்படுத்துவதாகவும் எச்சரிக்கின்றனர்.

லீக்கிலூக்கர் தாக்குதல் மேற்பரப்புக்குப் பின்னால் உள்ள ஒன்பது பாதிப்புகள்

இந்த ஆராய்ச்சி, தளத்தின் வெவ்வேறு கூறுகளையும் அதன் தரவு இணைப்பிகளையும் பாதிக்கும் ஒன்பது தனித்துவமான குறைபாடுகளை அடையாளம் கண்டுள்ளது. இந்த பாதிப்புகளில் பின்வருவன அடங்கும்:

• தரவுத்தள இணைப்பிகளில் பூஜ்ஜிய-கிளிக் SQL ஊசி மூலம் குறுக்கு-குத்தகைதாரர் அங்கீகரிக்கப்படாத அணுகல்
• சேமிக்கப்பட்ட சான்றுகளைப் பயன்படுத்தி பூஜ்ஜிய-கிளிக் SQL ஊசி மூலம் குறுக்கு-குத்தகைதாரர் அங்கீகரிக்கப்படாத அணுகல்
• சொந்த செயல்பாடுகள் மூலம் BigQuery ஐ இலக்காகக் கொண்ட குறுக்கு-குத்தகைதாரர் SQL ஊசி
• ஹைப்பர்லிங்க்கள் மூலம் குறுக்கு-குத்தகைதாரர் தரவு மூல வெளிப்பாடு
• பாதிக்கப்பட்டவரின் தரவு மூலத்தில் தனிப்பயன் வினவல்கள் மூலம் ஸ்பேனர் மற்றும் பிக்வெரியைப் பாதிக்கும் குறுக்கு-குத்தகைதாரர் SQL ஊசி.
• Looker இணைக்கும் API மூலம் குறுக்கு-குத்தகைதாரர் SQL ஊசி, BigQuery மற்றும் Spanner ஐ பாதிக்கிறது.
• பட ரெண்டரிங் மூலம் குறுக்கு-குத்தகைதாரர் தரவு கசிவு
• பிரேம் எண்ணிக்கை மற்றும் நேர அடிப்படையிலான பக்க சேனல்களைப் பயன்படுத்தி தன்னிச்சையான தரவு மூலங்களில் குறுக்கு-குத்தகைதாரர் XS-கசிவு
• BigQuery வள நுகர்வு மூலம் குறுக்கு-குத்தகைதாரர் பணப்பை மறுப்பு தாக்குதல்கள்

ஒட்டுமொத்தமாக, இந்தச் சிக்கல்கள், கூகிள் கிளவுட் சூழல்களுக்குள் இயங்கும் பாதிக்கப்பட்ட சேவைகளிலிருந்து தரவை மீட்டெடுக்க, செருக அல்லது நீக்க எதிரிகளை அனுமதிக்கும்.

தரவு இணைப்பிகள் முழுவதும் பரவலான வெளிப்பாடு

இந்தப் பாதிப்புகள், பரந்த அளவிலான Looker Studio தரவு ஒருங்கிணைப்புகளைப் பயன்படுத்தும் நிறுவனங்களுக்கு ஆபத்தை விளைவித்தன. பாதிக்கப்பட்ட சுற்றுச்சூழல் அமைப்பு, Google Sheets, Google BigQuery, Google Cloud Spanner, PostgreSQL, MySQL மற்றும் Google Cloud Storage உள்ளிட்ட நிறுவன சூழல்களில் பொதுவாகப் பயன்படுத்தப்படும் பல சேமிப்பக தளங்கள் மற்றும் தரவுத்தளங்களை உள்ளடக்கியது.

லுக்கர் ஸ்டுடியோ டேஷ்போர்டுகளில் இந்த இணைப்பிகளை நம்பியிருக்கும் எந்தவொரு நிறுவனமும் பாதிக்கப்பட்டிருக்கலாம், ஏனெனில் பாதிப்புகள் தாக்குபவர்கள் குத்தகைதாரர் எல்லைகளைக் கடந்து வெவ்வேறு கிளவுட் திட்டங்களுக்குச் சொந்தமான வளங்களை அணுக உதவியது.

சுரண்டல் பாதைகள்: பொது அறிக்கைகளிலிருந்து தரவுத்தளக் கட்டுப்பாடு வரை

ஆராய்ச்சியாளர்களால் கோடிட்டுக் காட்டப்பட்ட தாக்குதல் காட்சிகள், தாக்குபவர்கள் பொதுவில் அணுகக்கூடிய டேஷ்போர்டுகளை எவ்வாறு பயன்படுத்தலாம் அல்லது தனிப்பட்ட முறையில் பகிரப்பட்ட அறிக்கைகளுக்கான அணுகலைப் பெறலாம் என்பதை நிரூபிக்கின்றன. அணுகல் கிடைத்தவுடன், தீங்கிழைக்கும் நபர்கள் இணைக்கப்பட்ட தரவுத்தளங்களின் கட்டுப்பாட்டைக் கைப்பற்ற பாதிப்புகளைப் பயன்படுத்திக் கொள்ளலாம்.

ஒரு சூழ்நிலையில் BigQuery போன்ற தரவு மூலங்களுடன் இணைக்கப்பட்ட பொதுவில் அணுகக்கூடிய Looker Studio அறிக்கைகளை ஸ்கேன் செய்வது அடங்கும். ஊசி குறைபாடுகளைப் பயன்படுத்தி, தாக்குபவர்கள் உரிமையாளரின் முழு கிளவுட் திட்டத்திலும் தன்னிச்சையான SQL வினவல்களைச் செயல்படுத்த முடியும், இதனால் பெரிய அளவிலான தரவு பிரித்தெடுக்க முடியும்.

மற்றொரு தாக்குதல் பாதை அறிக்கை நகலெடுக்கும் பொறிமுறையில் ஒரு தர்க்கக் குறைபாட்டைப் பயன்படுத்திக் கொண்டது. பாதிக்கப்பட்டவர் ஒரு அறிக்கையை பொதுவில் அல்லது குறிப்பிட்ட பயனர்களுடன் பகிர்ந்து கொண்டால், அந்த அறிக்கை PostgreSQL போன்ற JDBC அடிப்படையிலான தரவு மூலத்தைப் பயன்படுத்தினால், தாக்குபவர்கள் அசல் உரிமையாளரின் சேமிக்கப்பட்ட சான்றுகளைத் தக்க வைத்துக் கொண்டு அறிக்கையை நகலெடுக்க முடியும். இந்தக் குறைபாடு அங்கீகரிக்கப்படாத பயனர்கள் தரவுத்தள அட்டவணைகளை மாற்றியமைத்தல் அல்லது நீக்குதல் போன்ற செயல்களைச் செய்ய அனுமதித்தது.

ஒரே கிளிக்கில் தரவு வெளியேற்றத்தை செயல்படுத்தும் உயர் தாக்க நுட்பத்தையும் ஆராய்ச்சியாளர்கள் நிரூபித்தனர். இந்த சூழ்நிலையில், சிறப்பாக வடிவமைக்கப்பட்ட அறிக்கையைத் திறந்த ஒரு பாதிக்கப்பட்டவர், தாக்குபவர் கட்டுப்படுத்தும் திட்டத்துடன் தொடர்பு கொண்ட தீங்கிழைக்கும் உலாவி செயல்பாட்டைத் தூண்டினார். பதிவு பகுப்பாய்வு மற்றும் மறுகட்டமைப்பு மூலம், தாக்குபவர் கைப்பற்றப்பட்ட தரவிலிருந்து முழு தரவுத்தளங்களையும் மீண்டும் உருவாக்க முடியும்.

உடைந்த நம்பிக்கை மாதிரி: பார்வையாளர் அனுமதிகள் தளத்திற்கு எதிராக மாற்றப்பட்டன

இந்தப் பாதிப்புகள், பார்வையாளர் நிலை அணுகலைக் கொண்ட பயனர்கள் அடிப்படைத் தரவைக் கட்டுப்படுத்தவோ அல்லது பாதிக்கவோ முடியாது என்ற அனுமானமான லுக்கர் ஸ்டுடியோவின் முக்கிய வடிவமைப்புக் கொள்கையை திறம்பட குறைமதிப்பிற்கு உட்படுத்தின.

கண்டறியப்பட்ட பலவீனங்களைப் பயன்படுத்திக் கொள்வதன் மூலம், தாக்குபவர்கள் இந்தப் பாதுகாப்பு எல்லையைத் தாண்டி, இணைக்கப்பட்ட சேவைகளுடன் நேரடியாகத் தொடர்பு கொள்ளலாம். இந்தத் திறன் அங்கீகரிக்கப்படாத தரவு பிரித்தெடுத்தல், கையாளுதல் மற்றும் குறுக்கு-குத்தகைதாரர் அணுகலுக்கான கதவைத் திறந்தது, இது BigQuery மற்றும் Google Sheets போன்ற சேவைகளைப் பாதித்தது.

பாதிப்புகள் இப்போது சரிசெய்யப்பட்டிருந்தாலும், பல-குத்தகைதாரர் கிளவுட் தளங்களில் கடுமையான பாதுகாப்பு வடிவமைப்பின் முக்கியத்துவத்தை கண்டுபிடிப்புகள் எடுத்துக்காட்டுகின்றன, அங்கு ஒரு தர்க்கக் குறைபாடு பரந்த குறுக்கு-சூழல் வெளிப்பாட்டிற்குள் செல்லக்கூடும்.