Zranitelnosti LeakyLookera

Výzkumníci v oblasti kybernetické bezpečnosti odhalili v Google Looker Studio sadu devíti zranitelností typu cross-tenant, které mohly útočníkům umožnit spouštět libovolné SQL dotazy proti databázím obětí a extrahovat citlivé informace z organizačních prostředí spuštěných na platformě Google Cloud Platform.

Soubor chyb dostal souhrnný název LeakyLooker. Výzkumníci nahlásili problémy prostřednictvím zodpovědného zveřejňování informací v červnu 2025 a zranitelnosti byly od té doby opraveny. V současné době neexistují žádné důkazy o tom, že by tyto slabiny byly zneužity při reálných útocích.

Bezpečnostní analytici varují, že tyto chyby podkopávají základní architektonické předpoklady platformy a zavádějí dříve nerozpoznanou třídu útoků schopných manipulovat s daty nebo extrahovat je napříč více cloudovými klienty.

Devět zranitelností, které se skrývají za útokem LeakyLooker

Výzkum identifikoval devět odlišných chyb, které ovlivňují různé komponenty platformy a jejích datových konektorů. Mezi tyto zranitelnosti patří:

• Neoprávněný přístup mezi klienty prostřednictvím SQL injection bez nutnosti kliknutí na databázové konektory
• Neoprávněný přístup mezi klienty prostřednictvím SQL injection bez nutnosti kliknutí s použitím uložených přihlašovacích údajů
• SQL injection mezi klienty cílící na BigQuery prostřednictvím nativních funkcí
• Zpřístupnění zdrojů dat mezi klienty prostřednictvím hypertextových odkazů
• SQL injection mezi klienty ovlivňující Spanner a BigQuery prostřednictvím vlastních dotazů na zdroj dat oběti
• SQL injection mezi klienty prostřednictvím Looker Linking API, ovlivňující BigQuery a Spanner
• Únik dat mezi klienty prostřednictvím vykreslování obrázků
• XS-Leak mezi klienty na libovolných zdrojích dat s využitím počítání rámců a postranních kanálů založených na časování
• Útoky typu „odepření peněženky“ mezi klienty prostřednictvím spotřeby zdrojů BigQuery

Tyto problémy by dohromady mohly útočníkům umožnit načítání, vkládání nebo mazání dat ze služeb oběti provozovaných v prostředích Google Cloud.

Široké pokrytí datových konektorů

Tyto zranitelnosti představovaly riziko pro organizace používající širokou škálu datových integrací Looker Studia. Dotčený ekosystém zahrnuje několik úložných platforem a databází běžně používaných v podnikových prostředích, včetně Google Sheets, Google BigQuery, Google Cloud Spanner, PostgreSQL, MySQL a Google Cloud Storage.

Jakákoli organizace, která se spoléhá na tyto konektory v dashboardech Looker Studia, mohla být potenciálně postižena, protože zranitelnosti umožňovaly útočníkům překročit hranice klientů a získat přístup k prostředkům patřícím různým cloudovým projektům.

Cesty zneužití: Od veřejných zpráv ke kontrole databáze

Scénáře útoků popsané výzkumníky ukazují, jak by útočníci mohli zneužít veřejně přístupné dashboardy nebo získat přístup k soukromě sdíleným reportům. Jakmile by útočníci získali přístup, mohli by zneužít zranitelnosti k převzetí kontroly nad připojenými databázemi.

Jeden scénář zahrnoval skenování veřejně dostupných reportů Looker Studia propojených se zdroji dat, jako je BigQuery. Zneužitím chyb typu injection mohli útočníci spouštět libovolné SQL dotazy v celém cloudovém projektu vlastníka, což umožňovalo rozsáhlou extrakci dat.

Další cesta útoku zneužila logickou chybu v mechanismu kopírování sestav. Pokud oběť sdílela sestavu, ať už veřejně nebo s konkrétními uživateli, a sestava používala zdroj dat založený na JDBC, jako je PostgreSQL, útočníci mohli sestavu duplikovat a zároveň si zachovat uložené přihlašovací údaje původního vlastníka. Tato chyba umožňovala neoprávněným uživatelům provádět akce, jako je úprava nebo mazání databázových tabulek.

Výzkumníci také demonstrovali vysoce účinnou techniku umožňující exfiltraci dat jedním kliknutím. V tomto scénáři oběť, která otevřela speciálně vytvořenou zprávu, spustila škodlivou aktivitu prohlížeče, která komunikovala s projektem ovládaným útočníkem. Prostřednictvím analýzy a rekonstrukce protokolů mohl útočník z zachycených dat znovu sestavit celé databáze.

Model narušené důvěry: Oprávnění diváků se obrátila proti platformě

Tyto zranitelnosti efektivně podkopávaly základní princip návrhu Looker Studia: předpoklad, že uživatelé s přístupem na úrovni prohlížeče nemohou ovládat ani ovlivňovat podkladová data.

Využitím objevených slabin mohli útočníci obejít tuto bezpečnostní hranici a přímo interagovat s připojenými službami. Tato schopnost otevřela dveře neoprávněné extrakci dat, manipulaci a přístupu mezi klienty, což ovlivnilo služby, jako jsou BigQuery a Google Sheets.

Přestože byly zranitelnosti nyní opraveny, zjištění zdůrazňují důležitost důsledného návrhu zabezpečení v cloudových platformách s více klienty, kde se jediná logická chyba může kaskádovitě rozšířit do širokého spektra rizik napříč prostředími.