- Los investigadores de Aikido descubrieron que las claves API de Google permanecen utilizables hasta 23 minutos después de su eliminación.
- Las tasas de éxito varían según las pruebas, y los proyectos habilitados para Gemini son particularmente vulnerables a archivos robados y conversaciones en caché.
- Google descarta el problema como un retraso en la promoción, pero Aikido sugiere un período de 30 minutos para eliminar y monitorear el uso inesperado.
Si, cuando elimina una clave API de Google, espera que ya no funcione (con efecto inmediato), tenemos una sorpresa para usted.
Los investigadores de Aikido descubrieron que los usuarios pueden autenticarse exitosamente hasta 23 minutos después de ser eliminados, lo que crea un enorme riesgo de seguridad y una gran oportunidad para los actores de amenazas.
La peor parte es que los usuarios casi no tienen forma de saber cuándo se cierra la ventana de autenticación y no pueden hacer absolutamente nada para acelerarla.
“declaración falsa”
En su informe, Aikido describió la realización de 10 pruebas durante dos días para crear y eliminar claves API mientras enviaba de 3 a 5 solicitudes autenticadas por segundo para medir la ventana de revocación.
Lo que encontraron fue bastante inconsistente: la ventana más larga fue de 23 minutos, mientras que la más corta fue de 8 minutos.
El equipo también dijo que las tasas de éxito eran muy impredecibles, ya que en una prueba el 79% de las solicitudes tuvieron éxito un minuto después de la eliminación, mientras que en otra solo el 5%. Aikido también enfatiza que el problema empeora en los proyectos en los que participa Gemini. Los actores de amenazas pueden volcar archivos cargados y extraer conversaciones almacenadas en caché usando la tecla “eliminar” con relativa facilidad.
El informe critica a Google por su confusa interfaz de usuario, que les dice a los usuarios que han eliminado su clave “una vez eliminada, ya no se puede utilizar para realizar solicitudes de API”.
“Esta afirmación es claramente falsa”, dice el Aikido. “El usuario no tiene forma de saber si la clave aún está activa, ni de acelerar la recuperación, ni de confirmar cuándo ha dejado de funcionar por completo”.
Google respondió a la divulgación de Aikido cerrando el informe y diciendo que no lo solucionaría. “La posición del equipo, según lo entendemos, es que el retraso en la propagación es una propiedad conocida del sistema y no es un problema de seguridad”, dice el informe.
Puede que no haya una solución, pero el Aikido analiza una mitigación. La eliminación de claves debe considerarse una operación de 30 minutos y, durante ese período, los usuarios deben monitorear las “API y servicios habilitados” en la consola de GCP para detectar usos inesperados de las credenciales eliminadas.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
