Google Looker Studio曝出跨租户漏洞，可执行任意SQL查询

网络安全研究人员披露了Google Looker Studio中的九个跨租户漏洞，攻击者可能利用这些漏洞对受害者数据库执行任意SQL查询，并在组织的Google Cloud环境中窃取敏感数据。

Tenable公司将这些安全缺陷统称为"LeakyLooker"。目前没有证据表明这些漏洞在实际环境中被恶意利用。在2025年6月负责任披露后，Google已经修复了这些问题。

安全漏洞清单如下：

跨租户未授权访问——数据库连接器零点击SQL注入

跨租户未授权访问——通过存储凭据的零点击SQL注入

通过原生函数在BigQuery上的跨租户SQL注入

通过超链接的跨租户数据源泄露

通过受害者数据源自定义查询在Spanner和BigQuery上的跨租户SQL注入

通过链接API在BigQuery和Spanner上的跨租户SQL注入

通过图像渲染的跨租户数据源泄露

通过帧计数和时序预言机对任意数据源的跨租户XS泄露

通过BigQuery的跨租户钱包拒绝服务

安全研究员Liv Matan在提供给The Hacker News的报告中表示："这些漏洞打破了基本设计假设，揭示了一个新的攻击类别，可能允许攻击者在受害者的服务和Google Cloud环境中窃取、插入和删除数据。"

"这些漏洞暴露了Google Cloud Platform环境中的敏感数据，可能影响任何使用Google Sheets、BigQuery、Spanner、PostgreSQL、MySQL、Cloud Storage以及几乎任何其他Looker Studio数据连接器的组织。"

成功利用跨租户缺陷可能使威胁行为者获得对不同云租户的整个数据集和项目的访问权限。

攻击者可以扫描公共Looker Studio报告或获得使用这些连接器（如BigQuery）的私人报告的访问权限，并控制数据库，允许他们在所有者的整个GCP项目中运行任意SQL查询。

另一种情况是，受害者创建公共报告或与特定接收者共享报告，并使用JDBC连接的数据源（如PostgreSQL）。在这种情况下，攻击者可以利用复制报告功能中的逻辑缺陷，在保留原始所有者凭据的同时克隆报告，从而使他们能够删除或修改表格。

该网络安全公司详述的另一个高影响路径涉及一键数据窃取，其中共享特制报告会强制受害者的浏览器执行恶意代码，联系攻击者控制的项目，从日志中重构整个数据库。

Matan说："这些漏洞打破了'查看者'永远不应该能够控制他们正在查看的数据这一基本承诺，"并补充说它们"可能让攻击者窃取或修改Google服务（如BigQuery和Google Sheets）中的数据。"

Q&A

Q1：LeakyLooker漏洞是什么？它对用户有什么影响？

A：LeakyLooker是Tenable公司发现的Google Looker Studio中的九个跨租户安全漏洞的统称。这些漏洞可能允许攻击者对受害者数据库执行任意SQL查询，窃取、插入和删除敏感数据，影响使用Google Cloud Platform各种服务的组织。

Q2：Google Looker Studio的跨租户漏洞已经被修复了吗？

A：是的，在2025年6月负责任披露后，Google已经修复了这些问题。目前没有证据表明这些漏洞在实际环境中被恶意利用过。

Q3：攻击者如何利用Looker Studio漏洞进行数据窃取？

A：攻击者可以通过多种方式利用这些漏洞：扫描公共Looker Studio报告获得数据库控制权，利用复制报告功能的逻辑缺陷克隆报告并保留原始所有者凭据，或通过共享特制报告强制受害者浏览器执行恶意代码来重构数据库。