Написать пост

В Google Docs обнаружили уязвимость, раскрывающую содержимое документов пользователей

Аватарка пользователя Булат Яббаров

В её основе лежало использование общего домена google.com для всех сервисов и не очень защищённую реализацию функции через элемент iframe.

Исследователь по кибербезопасности Sreeram KL опубликовал материал об уязвимости, найденной им в Google Docs. Специалист ещё 9 июля направил в Google отчёт о «дыре», за что и получил награду размером в 3 133 доллара, пишет SecurityLab.

В основу бреши в безопасности сервиса легла архитектура функции «Обратная связь», используемая Google. Вместо того, чтобы сделать отдельную версию для каждого проекта, поисковый гигант использовал один общий вариант, базирующийся на домене google.com. А для того, чтобы внедрить его в каждый отдельный продукт, компания использовала iframe-элемент. Он загружал всплывающий контент с feedback.googleusercontent.com.

В Google Docs обнаружили уязвимость, раскрывающую содержимое документов пользователей 1

Именно это звено общей цепи и оказалось самым слабым. Злоумышленнику было достаточно заменить фрейм произвольным внешним web-сайтам, после чего перехватить скриншоты Google Docs. Их компания позволяет отправлять вместе с обратной связью. Таким образом, поисковый ИТ-гигант самолично отдал в руки потенциальных хакеров содержимое документов своих пользователей:

Превью видео isM-BXj4_80

Источник: SecurityLab

Следите за новыми постами
Следите за новыми постами по любимым темам
554 открытий554 показов