CyberArk ha individuato il rischio delle Shadow Key in Google

La scoperta  delle shadow key nelle Google API key e il suo rapido fixing è un esempio dell’importanza dei laboratori e dei ricercatori delle società di Security nel contrastare i cybercriminali

 

Nella security di buone intenzioni è lastricato l’inferno, o perlomeno qualcuna delle sue strade, e il diavolo è sempre dietro l’angolo, o nascosto dove meno te lo aspetti.

Un esempio in proposito di un serio problema per fortuna già risolto ma indicativo dell’importanza che hanno i laboratori delle società attive nel campo della sicurezza, viene da CyberArk, società quotata ai primissimi posti nella classifica internazionale per la Cybersecurity per account privilegiati e del cloud.

CyberArk, all’inizio dell’anno in corso, ha segnalato di aver individuato una vulnerabilità connessa alle Google API e nello specifico alle chiavi API (di seguito API Key) che ha chiamato “Shadow IT”.

Va ricordato che le API Key entrano in gioco quando si vuole usare Google in un proprio progetto e che per farlo si deve registrare il progetto per ottenere la API Key da aggiungere alla propria App.

La vulnerabilità, aggiunge la società , è stata segnalata a Google dai CyberArk Labs nel gennaio scorso e successivamente prontamente risolta da Google.

Chiavi vere e Shadow Key

Google, crea automaticamente le API keys che sono associate al progetto di un utente. Le “Shadow key” sono in essenza delle copie illegittime di queste chiavi che sono create all’insaputa dell’utente e naturalmente di Google.

Questa, evidenzia CyberArk, rappresentava una significativa vulnerabilità perché se un attaccante riesce a mettere le mani sopra le chiavi ha la possibilità di creare shadow key (chiavi ombra) che gli permettono di accedere alle applicazioni come se fosse l’utente legittimo della chiave. Ma non solo. L’attaccante potrebbe anche bypassare il sistema di rilevazione/tariffazione di alcuni dei servizi API di Google.

Per chi volesse saperne di più una spiegazione esaustiva, interessante e molto dettagliata, con tanto di aree mediorientali geografiche coinvolte e grafici, di come è stata effettuata e testata la scoperta la si trova a: SHADOW KEY.

In sostanza, gli esperti dei Lab di CyberArk sono stati in grado di accedere alle applicazioni bypassando  i sistemi di rilevazione per evitare il pagamento, e questo anche dopo aver superato il limite quotidiano associato alla chiave e all’utente.

In pratica, ha osservato CyberArk, utilizzando una singola Google API key valida è stato possibile creare più shadow key che non sono state individuate ed evitare il pagamento dei servizi fruiti a Google.

Come osservato, l’azienda , una volta scoperto il problema, ha provveduto a segnalare a Google la vulnerabilità in base a quanto previsto dalle normative, vulnerabilità successivamente risolta.

Per essere sicura, una sorta di San Tommaso della cybersecurity, più di recente CyberArk ha testato shadow key create prima del fixing da parte di Google ed ha riscontrato che sono effettivamente inoperative.

Le date in gioco? La segnalazione del bug, ha evidenziato CyberArk, è avvenuta il 28 gennaio di quest’anno e il fixing del bug è stato comunicato da Google il 24 di Maggio.