អ្នកស្រាវជ្រាវម្នាក់បាន Hack ចូល Google ដោយប្រើប្រាស់ AI ហើយទទួលបានប្រាក់រង្វាន់ $500,000 សម្រាប់ Bug Bounty

ការចូលប្រើភាគច្រើននៃពួកវាតម្រូវឱ្យមានសោ API ដែលមានសុពលភាព ដូច្នេះអ្នកស្រាវជ្រាវ និងអ្នកសហការម្នាក់គឺលោក Michael Dalton បានប្រមូលព័ត៌មានសម្ងាត់ក្នុងទ្រង់ទ្រាយធំ។ ពួកគេបានទាញយក APK Android ជាង 60,000 ឌិគ្រីបប្រព័ន្ធគោលពីរ iOS និងបង្កើតផ្នែកបន្ថែម Chrome ដើម្បីស្ទាក់ចាប់ចរាចរណ៍នៅទូទាំងដែនគេហទំព័រ Google ចំនួន 2,800+ ដែលនៅទីបំផុតប្រមូលសោប្រហែល 3,600។

ដោយសារតែសោតែមួយជារឿយៗមាន API ច្រើនដែលត្រូវបានបើកនៅលើគម្រោង Google Cloud របស់ខ្លួន កំណប់ទ្រព្យនេះបានដោះសោវិសាលភាពទូលំទូលាយ។ ដើម្បីស្ថិតនៅក្នុងវិសាលភាពកម្មវិធីរបស់ Google ក្រុមបានត្រងសោដែលមិនមែនជារបស់ Google ដោយប្រើចំណុចបញ្ចប់ Cloud Marketplace ដែលដោះស្រាយលេខគម្រោងទៅដែនដែលខ្លួនជាម្ចាស់។

បន្ទាប់មកពួកគេបានរំលងផ្លូវរកឃើញដែលបានដកចេញ បំពានស្លាកភាពមើលឃើញដូចជា GOOGLE_INTERNAL ដើម្បីបង្ហាញចំណុចបញ្ចប់ដែលលាក់ និងបានវិស្វកម្មបញ្ច្រាសការផ្ទៀងផ្ទាត់ភាគីទីមួយ (FPA v2) ដែលមានកម្មសិទ្ធិរបស់ Google បន្ទាប់ពីផែនទីប្រភពបានលេចធ្លាយបណ្ណាល័យផ្នែកខាងមុខដែលពាក់ព័ន្ធមួយរយៈខ្លី។

បន្ទាប់ពីប្រមូលឯកសាររកឃើញជាង 1,500 ពី Google APIs រួមទាំងចំណុចបញ្ចប់ដែលលាក់ដែលត្រូវបានដោះសោតាមរយៈស្លាកភាពមើលឃើញ GOOGLE_INTERNAL ដែលមិនមានឯកសារ អ្នកស្រាវជ្រាវបានបង្កើត API Explorer ផ្ទាល់ខ្លួនដែលមានសមត្ថភាពវិភាគឯកសាររកឃើញណាមួយនៅខាងម៉ាស៊ីនភ្ញៀវ និងអនុវត្តសំណើដែលបានផ្ទៀងផ្ទាត់។

ដោយមានហេដ្ឋារចនាសម្ព័ន្ធរួចរាល់ អ្នកស្រាវជ្រាវបានរួមបញ្ចូល Claude AI ជាម៉ាស៊ីនសាកល្បងដោយស្វ័យប្រវត្តិ។ AI ត្រូវបានផ្តល់ឧបករណ៍ផ្ទាល់ខ្លួនមួយឈុត — probe_api, report_vulnerability និង confirm_testing_complete ដើម្បីសាកល្បងចំណុចបញ្ចប់នីមួយៗជាប្រព័ន្ធសម្រាប់ការគ្រប់គ្រងការចូលប្រើដែលខូច និងភាពងាយរងគ្រោះ IDOR (Insecure Direct Object Reference)។

ប្រព័ន្ធនេះត្រូវបានកែលម្អក្នុងរយៈពេលមួយខែតាមរយៈវិស្វកម្មប្រអប់បញ្ចូលម្តងហើយម្តងទៀត។ ការកែលម្អសំខាន់ៗរួមមានការចាត់ថ្នាក់ចំណុចបញ្ចប់ដែលមានមូលដ្ឋានលើក្រុម ការស៊ើបអង្កេតពហុគ្រាប់ចុចដែលបានផ្ញើសំណើដូចគ្នាដោយស្វ័យប្រវត្តិនៅទូទាំងគ្រាប់ចុច API ដែលគេស្គាល់ទាំងអស់ និងការវិភាគស្តង់ដារនៃសារកំហុស Google API ដ៏សម្ងាត់ទៅជាស្លាកដែលមនុស្សអាចអានបាន។ នៅពេលដែលការកែលម្អទាំងនេះត្រូវបានអនុវត្ត ភាពត្រឹមត្រូវនៃការរាយការណ៍ភាពងាយរងគ្រោះរបស់ AI លើសពី 50% ដែលធ្វើឱ្យការពិនិត្យដោយដៃមានល្បឿនលឿន និងមានប្រសិទ្ធភាព។

ក្នុងចំណោមការរកឃើញដ៏ធ្ងន់ធ្ងរបំផុតគឺកង្វះការគ្រប់គ្រងការចូលប្រើទាំងស្រុងនៅលើ gfibervoice-pa.googleapis.com ដែលជា API គ្រប់គ្រង Google Voice និង Google Fiber។

ជាមួយនឹងពាក្យបញ្ជា curl ដែលមិនបានផ្ទៀងផ្ទាត់តែមួយដែលផ្គត់ផ្គង់តែ Gaia ID របស់ជនរងគ្រោះ អ្នកវាយប្រហារអាចទាញយក PII ពេញលេញរួមទាំងលេខ Google Voice និងលេខទូរស័ព្ទសង្គ្រោះគណនីរបស់ជនរងគ្រោះ។

អ្វីដែលគ្រោះថ្នាក់ជាងនេះទៅទៀត API នេះក៏អនុញ្ញាតឱ្យអ្នកវាយប្រហារកំណត់លេខទូរស័ព្ទណាមួយទៅគណនី Google របស់ជនរងគ្រោះដោយគ្មានការអនុញ្ញាត ដោយលេខនឹងលេចឡើងនៅក្រោមទូរស័ព្ទដែលបានផ្ទៀងផ្ទាត់របស់ជនរងគ្រោះនៅ myaccount.google.com/phone។

នេះបានបើកផ្លូវទៅកាន់ការវាយប្រហារដែលអាចកើតមានដូចជាការកាន់កាប់គណនី (ATO) និងការវាយប្រហារបែប SIM-swap។ Google បានវាយតម្លៃកំហុសនេះថា P0/S0 ដែលជាភាពធ្ងន់ធ្ងរបំផុតដែលអាចធ្វើទៅបាន ហើយបានជួសជុលវាក្នុងរយៈពេលប៉ុន្មានម៉ោង ដោយផ្តល់រង្វាន់ $20,000 សម្រាប់ការរកឃើញតែមួយនោះ។

ភាពងាយរងគ្រោះទាំងអស់ត្រូវបានរាយការណ៍ដោយការទទួលខុសត្រូវតាមរយៈកម្មវិធី VRP របស់ Google។ សរុបមក យុទ្ធនាការស្រាវជ្រាវដែលមានជំនួយពី AI បានរកឃើញកំហុសឆ្គងនៅទូទាំង API ផ្ទៃក្នុងរាប់សិបរបស់ Google ដែលសរុបមកបានធ្វើឱ្យអ្នកស្រាវជ្រាវទទួលបានប្រាក់រង្វាន់ចំនួន ៥០០,០០០ ដុល្លារក្នុងរយៈពេលតិចជាង ៩០ ថ្ងៃ។

ការស្រាវជ្រាវនេះគូសបញ្ជាក់ពីការផ្លាស់ប្តូរដ៏សំខាន់មួយនៅក្នុងសន្តិសុខវាយលុក៖ AI លែងគ្រាន់តែជាឧបករណ៍ការពារនៅក្នុងដៃស្តាំទៀតហើយ។ វាក្លាយជាម៉ាស៊ីនស្វែងរកភាពងាយរងគ្រោះដែលអាចធ្វើមាត្រដ្ឋានបានខ្ពស់ ដែលមានសមត្ថភាពរកឃើញកំហុសឆ្គងសំខាន់ៗសូម្បីតែនៅក្នុងអង្គការដែលមានការយល់ដឹងអំពីសុវត្ថិភាពបំផុតរបស់ពិភពលោក។