LeakyLooker-Schwachstellen

Cybersicherheitsforscher haben neun mandantenübergreifende Schwachstellen in Google Looker Studio aufgedeckt, die es Angreifern ermöglicht hätten, beliebige SQL-Abfragen gegen die Datenbanken der Opfer auszuführen und sensible Informationen aus Organisationsumgebungen zu extrahieren, die auf der Google Cloud Platform laufen.

Die Sammlung von Sicherheitslücken trägt den Namen LeakyLooker. Forscher meldeten die Probleme im Juni 2025 im Rahmen der verantwortungsvollen Offenlegung, und die Schwachstellen wurden inzwischen behoben. Derzeit gibt es keine Hinweise darauf, dass diese Schwachstellen in realen Angriffen ausgenutzt wurden.

Sicherheitsexperten warnen davor, dass die Schwachstellen grundlegende architektonische Annahmen der Plattform untergraben und eine bisher unbekannte Klasse von Angriffen einführen, die in der Lage sind, Daten über mehrere Cloud-Mandanten hinweg zu manipulieren oder zu extrahieren.

Die neun Schwachstellen der LeakyLooker-Angriffsfläche

Die Untersuchung identifizierte neun verschiedene Schwachstellen, die unterschiedliche Komponenten der Plattform und ihrer Datenverbindungen betreffen. Zu diesen Schwachstellen gehören:

• Mandantenübergreifender unbefugter Zugriff durch Zero-Click-SQL-Injection auf Datenbankkonnektoren
• Mandantenübergreifender unbefugter Zugriff durch Zero-Click-SQL-Injection unter Verwendung gespeicherter Anmeldeinformationen
• Mandantenübergreifende SQL-Injection mit Hilfe nativer Funktionen, die auf BigQuery abzielt
• Mandantenübergreifende Datenquellen durch Hyperlinks
• Mandantenübergreifende SQL-Injection, die Spanner und BigQuery durch benutzerdefinierte Abfragen auf der Datenquelle eines Opfers betrifft.
• Mandantenübergreifende SQL-Injection über die Looker-Linking-API, die BigQuery und Spanner betrifft
• Datenlecks zwischen Mandanten durch Bildrendering
• Mandantenübergreifender XS-Leak auf beliebigen Datenquellen mittels Frame-Zählung und zeitbasierter Seitenkanäle
• Mandantenübergreifende Denial-of-Wallet-Angriffe durch BigQuery-Ressourcenverbrauch

Zusammengenommen könnten diese Probleme es Angreifern ermöglichen, Daten von Opferdiensten, die in Google Cloud-Umgebungen betrieben werden, abzurufen, einzufügen oder zu löschen.

Weitverbreitete Exposition über Datenkonnektoren hinweg

Die Sicherheitslücken stellten ein Risiko für Organisationen dar, die eine Vielzahl von Looker Studio-Datenintegrationen nutzten. Das betroffene Ökosystem umfasst mehrere Speicherplattformen und Datenbanken, die häufig in Unternehmensumgebungen eingesetzt werden, darunter Google Sheets, Google BigQuery, Google Cloud Spanner, PostgreSQL, MySQL und Google Cloud Storage.

Jede Organisation, die auf diese Konnektoren in Looker Studio-Dashboards angewiesen ist, hätte potenziell betroffen sein können, da die Schwachstellen es Angreifern ermöglichten, Mandantengrenzen zu überschreiten und auf Ressourcen zuzugreifen, die zu verschiedenen Cloud-Projekten gehören.

Ausnutzungspfade: Von öffentlichen Meldungen zur Datenbankkontrolle

Die von Forschern skizzierten Angriffsszenarien zeigen, wie Angreifer öffentlich zugängliche Dashboards nutzen oder Zugriff auf privat geteilte Berichte erlangen können. Sobald sie Zugriff haben, können Angreifer die Schwachstellen ausnutzen, um die Kontrolle über verbundene Datenbanken zu übernehmen.

Ein Szenario umfasste das Scannen nach öffentlich zugänglichen Looker Studio-Berichten, die mit Datenquellen wie BigQuery verbunden waren. Durch Ausnutzung von Sicherheitslücken konnten Angreifer beliebige SQL-Abfragen im gesamten Cloud-Projekt des Besitzers ausführen und so Daten in großem Umfang extrahieren.

Ein weiterer Angriffsweg nutzte eine Logiklücke im Mechanismus zum Kopieren von Berichten aus. Wenn ein Opfer einen Bericht öffentlich oder mit bestimmten Benutzern teilte und dieser eine JDBC-basierte Datenquelle wie PostgreSQL verwendete, konnten Angreifer den Bericht duplizieren und dabei die gespeicherten Anmeldeinformationen des ursprünglichen Besitzers beibehalten. Diese Schwachstelle ermöglichte es unbefugten Benutzern, Aktionen wie das Ändern oder Löschen von Datenbanktabellen durchzuführen.

Die Forscher demonstrierten zudem eine wirkungsvolle Technik, die den Datenabfluss mit nur einem Klick ermöglicht. In diesem Szenario löste ein Opfer, das einen speziell präparierten Bericht öffnete, schädliche Browseraktivitäten aus, die mit einem vom Angreifer kontrollierten Projekt kommunizierten. Durch die Analyse und Rekonstruktion der Protokolle konnte der Angreifer ganze Datenbanken aus den erfassten Daten wiederherstellen.

Gebrochenes Vertrauensmodell: Nutzerberechtigungen gegen die Plattform

Die Sicherheitslücken untergruben effektiv ein zentrales Designprinzip von Looker Studio: die Annahme, dass Benutzer mit Zugriff auf Betrachterebene die zugrunde liegenden Daten weder kontrollieren noch beeinflussen können.

Durch Ausnutzung der entdeckten Schwachstellen konnten Angreifer diese Sicherheitsgrenze umgehen und direkt mit verbundenen Diensten interagieren. Diese Fähigkeit ermöglichte unbefugten Datenabgriff, -manipulation und mandantenübergreifenden Zugriff und beeinträchtigte Dienste wie BigQuery und Google Sheets.

Obwohl die Sicherheitslücken inzwischen behoben wurden, unterstreichen die Ergebnisse die Bedeutung eines strengen Sicherheitsdesigns in Multi-Tenant-Cloud-Plattformen, wo ein einziger Logikfehler zu einer umfassenden Gefährdung der gesamten Umgebung führen kann.