НСПК / 24.12.24 / перетяжка / 2W5zFK76vmn
НСПК / 24.12.24 / перетяжка / 2W5zFK76vmn
НСПК / 24.12.24 / перетяжка / 2W5zFK76vmn

В Google Docs обнаружили уязвимость, раскрывающую содержимое документов пользователей

Новости Отредактировано

Проворачивалось это всё через форму «Обратной связи» сервиса.

555 открытий557 показов

Исследователь по кибербезопасности Sreeram KL опубликовал материал об уязвимости, найденной им в Google Docs. Специалист ещё 9 июля направил в Google отчёт о «дыре», за что и получил награду размером в 3 133 доллара, пишет SecurityLab.

В основу бреши в безопасности сервиса легла архитектура функции «Обратная связь», используемая Google. Вместо того, чтобы сделать отдельную версию для каждого проекта, поисковый гигант использовал один общий вариант, базирующийся на домене google.com. А для того, чтобы внедрить его в каждый отдельный продукт, компания использовала iframe-элемент. Он загружал всплывающий контент с feedback.googleusercontent.com.

В Google Docs обнаружили уязвимость, раскрывающую содержимое документов пользователей 1

Именно это звено общей цепи и оказалось самым слабым. Злоумышленнику было достаточно заменить фрейм произвольным внешним web-сайтам, после чего перехватить скриншоты Google Docs. Их компания позволяет отправлять вместе с обратной связью. Таким образом, поисковый ИТ-гигант самолично отдал в руки потенциальных хакеров содержимое документов своих пользователей:

Превью видео isM-BXj4_80

Источник: SecurityLab

Следите за новыми постами
Следите за новыми постами по любимым темам
555 открытий557 показов