【安全资讯】Google Cloud Document AI漏洞仍然允许数据盗窃
概要:
Google Cloud的Document AI服务存在过度宽松的权限设置,可能被数据窃贼利用,侵入Cloud Storage存储桶并窃取敏感信息。尽管Google已为此漏洞支付了漏洞赏金,但该漏洞仍未修复,攻击向量依然存在。主要内容:
据威胁检测和响应公司Vectra AI及其首席安全研究员Kat Traxler透露,Google Cloud的Document AI服务存在权限配置问题,可能被攻击者利用来窃取数据。Traxler在今年四月初报告了这一漏洞,但Google最初认为文档不足以支付赏金。随后,Google改变了立场,支付了3133.70美元的赏金,并标记为“已修复”,但Traxler认为问题依然存在。Traxler在研究中详细描述了这一攻击,并展示了如何绕过Document AI的访问控制,从Google Cloud Storage存储桶中窃取PDF文件、修改文件并返回。问题出在Document AI服务使用的服务代理权限过于宽泛,在批处理模式下,服务使用的是服务代理的权限,而不是调用者的权限。这使得服务代理可以访问同一项目中的任何存储桶,从而移动用户通常无法访问的数据。
Traxler指出,这种能力使得恶意行为者可以绕过访问控制,将数据从一个存储桶转移到另一个存储桶,导致敏感信息泄露。她建议Document AI使用用户管理的服务账户进行数据处理,以避免这种权限滥用。尽管Google在六月将漏洞状态改为“已修复”,但Traxler认为问题依然存在,并计划在2024年9月的高调活动中公开披露此问题。
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享