Một nhà nghiên cứu bảo mật đã tiết lộ quy trình phát hiện lỗ hổng dựa trên AI, giúp tìm ra hơn 500.000 USD giá trị các lỗ hổng trong cơ sở hạ tầng của Google chỉ trong vòng chưa đầy ba tháng. Nghiên cứu này đã phơi bày những sai sót mang tính hệ thống trong việc kiểm soát truy cập, ẩn giấu bên trong khoảng 1.500 API. Đây là một ví dụ điển hình về tin tức bảo mật liên quan đến các phương pháp phát hiện lỗ hổng tiên tiến.
Phân tích API và Thu thập Thông tin Xác thực
Quá trình bắt đầu bằng việc nhắm mục tiêu vào các tài liệu khám phá API của Google, tương tự như định dạng Swagger. Các tài liệu này liệt kê tất cả các điểm cuối (endpoints), tham số và phương thức có sẵn. Mặc dù các tài liệu này có sẵn công khai cho các API như YouTube Data API, nhưng nhiều tài liệu tồn tại cho các API nội bộ của Google và yêu cầu khóa API hợp lệ để truy cập.
Thu hoạch Khóa API Quy mô Lớn
Để truy cập phần lớn các API này, việc thu thập khóa API là cần thiết. Nhà nghiên cứu và cộng sự đã thực hiện thu hoạch khóa API trên quy mô lớn. Họ đã quét hơn 60.000 tệp APK trên Android, giải mã các tệp nhị phân iOS và xây dựng một tiện ích mở rộng Chrome để chặn lưu lượng truy cập trên hơn 2.800 tên miền web của Google, cuối cùng thu thập được khoảng 3.600 khóa.
Vì một khóa API duy nhất thường có nhiều API được kích hoạt trên dự án Google Cloud của nó, kho khóa này đã mở ra khả năng tiếp cận rộng rãi. Để đảm bảo nằm trong phạm vi chương trình của Google, nhóm đã lọc bỏ các khóa không thuộc về Google bằng cách sử dụng một điểm cuối trên Cloud Marketplace để phân giải số dự án thành tên miền sở hữu.
Vượt qua Cơ chế Bảo mật và Khám phá Điểm cuối Ẩn
Sau khi thu thập khóa, nhóm đã tiến hành vượt qua các đường dẫn khám phá đã được bảo vệ. Họ lạm dụng các nhãn hiển thị (visibility labels) như GOOGLE_INTERNAL để làm lộ ra các điểm cuối bị ẩn. Đồng thời, họ thực hiện kỹ thuật đảo ngược (reverse-engineer) cơ chế xác thực First Party Authentication (FPA v2) độc quyền của Google, sau khi các tệp mã nguồn (sourcemaps) bị rò rỉ ngắn hạn, làm lộ thư viện frontend liên quan.
Xây dựng Công cụ Khám phá API Tùy chỉnh
Sau khi thu thập hơn 1.500 tài liệu khám phá từ các API của Google, bao gồm cả các điểm cuối ẩn được tiết lộ thông qua nhãn hiển thị GOOGLE_INTERNAL không được ghi chài, nhà nghiên cứu đã xây dựng một công cụ khám phá API tùy chỉnh. Công cụ này có khả năng phân tích cú pháp mọi tài liệu khám phá phía máy khách (client-side) và thực thi các yêu cầu đã được xác thực.
Ứng dụng AI trong Phát hiện Lỗ hổng
Với cơ sở hạ tầng đã sẵn sàng, nhà nghiên cứu đã tích hợp Claude AI như một công cụ kiểm thử thâm nhập tự động. AI được cung cấp một bộ công cụ tùy chỉnh bao gồm: probe_api, report_vulnerability và confirm_testing_complete. Mục tiêu là kiểm tra một cách có hệ thống mọi điểm cuối để phát hiện các lỗi về kiểm soát truy cập (broken access controls) và lỗ hổng tham chiếu đối tượng trực tiếp không an toàn (Insecure Direct Object Reference – IDOR).
Tinh chỉnh Quy trình Làm việc với AI
Hệ thống được tinh chỉnh trong vòng một tháng thông qua kỹ thuật gợi ý (prompt engineering) lặp đi lặp lại. Các cải tiến chính bao gồm phân loại điểm cuối dựa trên nhóm, thăm dò đa khóa (multi-key probing) tự động gửi cùng một yêu cầu qua tất cả các khóa API đã biết và chuẩn hóa việc phân tích cú pháp các thông báo lỗi API khó hiểu của Google thành các nhãn dễ hiểu.
Sau khi các cải tiến này được áp dụng, độ chính xác trong báo cáo lỗ hổng của AI đã vượt quá 50%, giúp cho việc xem xét thủ công trở nên nhanh chóng và hiệu quả. Điều này nhấn mạnh tiềm năng của AI trong việc nâng cao hiệu quả của các hoạt động phát hiện tấn công.
Phát hiện Lỗ hổng Nghiêm trọng về Kiểm soát Truy cập
Trong số các phát hiện nghiêm trọng nhất là sự thiếu sót hoàn toàn trong việc kiểm soát truy cập trên gfibervoice-pa.googleapis.com, một API quản lý của Google Voice và Google Fiber. Đây là một lỗ hổng CVE có thể gây ra hậu quả nghiêm trọng nếu không được khắc phục.
Chiếm quyền Điều khiển Tài khoản và Tấn công SIM-Swap
Chỉ với một lệnh curl không xác thực cung cấp ID Gaia của nạn nhân, kẻ tấn công có thể truy xuất toàn bộ thông tin cá nhân nhận dạng (PII), bao gồm số Google Voice và số điện thoại khôi phục tài khoản của nạn nhân. Nghiêm trọng hơn, API này còn cho phép kẻ tấn công gán bất kỳ số điện thoại nào cho tài khoản Google của nạn nhân mà không cần sự cho phép. Số điện thoại này sau đó sẽ hiển thị trong danh sách các số điện thoại đã xác minh của nạn nhân tại myaccount.google.com/phone.
Điều này mở ra con đường tiềm năng cho việc chiếm quyền điều khiển tài khoản (Account Takeover – ATO) và các cuộc tấn công kiểu SIM-swap. Google đã xếp hạng lỗ hổng này ở mức P0/S0, mức độ nghiêm trọng cao nhất và đã vá nó trong vòng vài giờ, đồng thời trao thưởng 20.000 USD cho phát hiện này.
Tổng kết Chiến dịch và Tác động
Tất cả các lỗ hổng được báo cáo một cách có trách nhiệm thông qua chương trình VRP của Google. Tổng cộng, chiến dịch nghiên cứu có sự hỗ trợ của AI đã phát hiện ra các lỗi trên hàng chục API nội bộ của Google, mang về cho nhà nghiên cứu tổng cộng 500.000 USD tiền thưởng trong vòng chưa đầy 90 ngày.
Nghiên cứu này nhấn mạnh một sự thay đổi quan trọng trong lĩnh vực tấn công bảo mật: AI không còn chỉ là một công cụ phòng thủ khi rơi vào tay những người có kỹ năng, mà nó đã trở thành một công cụ khám phá lỗ hổng có khả năng mở rộng cao, có khả năng phát hiện ra các sai sót nghiêm trọng ngay cả trong các tổ chức bảo mật chặt chẽ nhất thế giới. Đây là một minh chứng rõ ràng cho các mối đe dọa mạng mới nổi và tầm quan trọng của việc cập nhật bản vá liên tục.
Để tìm hiểu thêm về các lỗ hổng và cách thức khai thác, bạn có thể tham khảo thêm tại NVD (National Vulnerability Database).
