Google dikabarkan telah memperbaiki kerentanan XSS di Google Maps yang dilaporkan melalui program bug bounty. Vulnerability Reward Programs (VRP) Google ini menyediakan platform bagi peneliti pihak ketiga untuk mengungkapkan masalah keamanan dalam layanan dan produk Google secara pribadi.
Kepala Keamanan Aplikasi di Wix, Zohar Shachar mengatakan dalam sebuah posting blog yang menjelaskan bahwa kerentanan cross-site scripting (XSS) hadir dalam cara Google Maps menangani fitur ekspor.
Setelah membuat peta, layanan memungkinkan konten ini diekspor dalam berbagai format, salah satunya adalah KML, yang menggunakan struktur berbasis tag dan berdasarkan standar XML.
Menurut Shachar, nama peta dalam format file ini terdapat dalam tag CDATA terbuka, sehingga kodenya “tidak dirender oleh browser”. Namun, dengan menambahkan karakter khusus seperti “]]>,” dimungkinkan untuk keluar dari tag dan menambahkan konten XML arbitrer, yang mengarah ke XSS.
Setelah menemukan masalah tersebut, peneliti kemudian melaporkan temuannya ini ke Google.
Namun, ini bukanlah akhir dari masalah keamanan. Setelah Google mengirim pesan kepada Shachar yang mengatakan bahwa kerentanan XSS tersebut telah ditangani, peneliti memeriksa dengan meluncurkan Google Maps, memasukkan muatan yang sama, dan melihat hasilnya.
Shachar mengatakan bahwa apa yang dilihatnya “membingungkan”, karena perbaikannya hanya termasuk menambahkan tag CDATA baru untuk menutup tag asli. Dengan dua tag CDATA terbuka, oleh karena itu, mengabaikan perbaikan hanya akan membutuhkan dua tag CDATA tertutup.
“Saya benar-benar terkejut bahwa jalan pintas itu sangat sederhana,” kata Shachar. “Saya melaporkannya begitu cepat (secara harfiah 10 menit antara memeriksa kotak surat saya dan melaporkan kerentanan), sehingga setelah mengirim surat ini saya mulai meragukan diri saya sendiri.”
Baca Juga: “HackerOne Sudah Memberi Reward Sekitar $100.000.000 Pada Para Bug Hunter“
Kira-kira dua jam setelah mengirimkan pertanyaan baru dengan temuannya, peneliti diberi tahu bahwa kasus tersebut sedang dibuka kembali.
Masalah XSS pertama dilaporkan ke Google pada tanggal 23 April 2020. Pada 27 April 2020, tim VRP Google telah menerima kerentanan sebagai sah, mengeluarkan perbaikan dan penghargaan pertama pada 7 Juni 2020. Lalu bypass dari patch asli dilaporkan pada hari yang sama, dan setelah diselesaikan, peneliti menerima pembayaran keduanya pada tanggal 18 Juni 2020.
Setiap kerentanan menghasilkan Shachar $5.000, jadi total hadiah yang diterima yaitu $10.000.
“Sejak insiden pengabaian perbaikan Google Maps ini, saya mulai selalu memvalidasi ulang perbaikan, bahkan untuk hal-hal sederhana, dan hasilnya terbayar,” kata Shachar. “Saya dengan sepenuh hati mendorong Anda untuk melakukan hal yang sama.”
