Spoločnosť Google sa vždy snaží udržať si svoje služby čo najbezpečnejšie. Tentokrát sa však podarilo odhaliť chybu v službe Dokumenty Google, ktorá mohla útočníkom umožniť nahliadnuť do vašich súkromných súborov. Podľa portálu thehackernews.com, ju odhalil výskumník v oblasti bezpečnosti Sreeram KL. V rámci programu Vulnerability Reward Program spoločnosti Google, bol Sreeram KL ocenený sumou 3133,70 dolárov.
Vaše súbory v službe Dokumenty Google mohli útočníci vidieť pomocou screenshotu
Kameňom úrazu bolo v tomto prípade okno odoslania spätnej väzby. To umožňuje používateľom odoslať spätnú väzbu spolu s možnosťou zahrnúť snímku obrazovky, ktorá sa automaticky načíta. Táto funkcia je vložená na hlavnej webovej stránke (www.google.com) a integrovaná do iných domén prostredníctvom prvku iframe. Ten zobrazí vyskakovacie okno spätnej väzby zo stránky feedback.googleusercontent.com.
Nasnímanie snímky obrazovky si vyžaduje čítať hodnoty RGB z každého pixelu na obrazovke a posielať ich do nadradenej domény, konkrétne google.com. Táto doména následne presmeruje získané hodnoty do domény spätnej väzby, tá vykreslí snímku a odošle ju späť v dátovom formáte Base64.
Chyba v tomto prípade nastáva v spôsobe odosielania údajov doméne feedback.googleusercontent.com. Práve vtedy môže útočník zmeniť túto adresu na akýkoľvek externý web. To umožní útočníkovi ukradnúť snímky obrazovky určené na nahranie na servery Google. Na to, aby mohol byť tento útok úspešne vykonaný, je tak či tak na úvod potrebná interakcia používateľa.
Chybu v okne spätnej väzby, ktorú by mohol útočník zneužiť na potenciálne odcudzenie snímok obrazovky citlivých dokumentov už Google vo svojej službe našťastie opravil.
