Otkriven bag u Google dokumentima koji hakerima omogućava da vide vaše privatne dokumente

Vesti, 30.12.2020, 09:00 AM

Otkriven bag u Google dokumentima koji hakerima omogućava da vide vaše privatne dokumente

Google je ispravio grešku u svom alatu za povratne informacije ugrađenom u većini njegovih proizvoda, koju bi hakeri mogli da iskoriste za krađu snimaka Google dokumenata.

Bag je 9. jula otkrio istraživač Sreeram KL, koga je Google zbog toga nagradio sa 3133,70 dolara.

Mnogi Googleovi proizvodi, uključujući Google dokumente, imaju opciju „Pošaljite povratne informacije“ ili „Pomozite da se dokumenti poboljšaju“ koja Googleu pomaže da dobije povratne informacije od korisnika kada se susretnu sa nekim problemom. Ova funkcija omogućava korisnicima da pošalju Googleu kratak opis problema uz opciju dodavanja snimka ekrana koji se automatski učitava i koji ilustruje problem sa kojim se korisnik susreo.

Ova funkcija je dostupna na većini Googleovih sajtova, ali ne za svaki sajt posebno, već je primenjena na Googleovom glavnom veb sajtu („www.google.com“) i integrisana u druge domene preko iframe elementa koji učitava iskačući sadržaj iz „feedback.googleusercontent.com”.

To znači da kad god je uključen snimak ekrana Google dokumenata, prikazivanje slike zahteva prenos RGB vrednosti svakog piksela na www.google.com, koji zatim te RGB vrednosti preusmerava na iframe feedback.googleusercontent.com, koji na kraju konstruiše sliku iz tih piksela i šalje je nazad u Base64 kodiranom formatu.

Sreeram je otkrio grešku u načinu na koji su ove poruke prosleđivane na „feedback.googleusercontent.com“, koja je omogućavala krađu snimaka Google dokumenata koje je trebalo otpremiti na Googleove servere.

Iako napad zahteva neki oblik korisničke interakcije, na primer, klik na dugme „Pošalji povratne informacije“, napadač bi lako mogao iskoristiti ovu ranjivost da “uhvati” URL poslatog snimka i ukrade ga na svom veb sajtu.

To se može postići ugrađivanjem Google Docs fajla u iFrame na lažnom veb sajtu i otimanjem iskačućeg okvira za povratne informacije kako bi se sadržaj preusmerio na domen po izboru napadača.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Hakeri izmenili ukradene podatke o Fajzerovoj vakcini da bi sabotirali vakcinaciju

Hakeri izmenili ukradene podatke o Fajzerovoj vakcini da bi sabotirali vakcinaciju

Hakeri koji su ukrali informacije o Phizer/BioNTech vakcini protiv COVID-19 u sajber napadu na medicinsku agenciju Evropske unije koji se dogodio pro... Dalje

Zatvara se Joker's Stash, najveća prodavnica ukradenih kreditnih kartica

Zatvara se Joker's Stash, najveća prodavnica ukradenih kreditnih kartica

Administrator Joker's Stasha, popularnog i jednog od najdugovečnijih sajtova mračnog veba za kupovinu ukradenih kreditnih kartica, najavio je u peta... Dalje

Zbog egzodusa korisnika, WhatsApp odložio primenu novih kontroverznih smernica o deljenju podataka korisnika sa Facebookom

Zbog egzodusa korisnika, WhatsApp odložio primenu novih kontroverznih smernica o deljenju podataka korisnika sa Facebookom

WhatsApp je saopštio da do 15. maja neće primenjivati nedavno najavljeno kontroverzno ažuriranje smernica o deljenju podataka koje je, kako je prv... Dalje

Facebook tužio dvojicu programera ekstenzija za Chrome zbog prikupljanja podataka korisnika

Facebook tužio dvojicu programera ekstenzija za Chrome zbog prikupljanja podataka korisnika

Facebook je tužio dvojicu portugalskih programera zbog ekstenzija za Chrome koje su prikupljale korisničke podatke sa Facebookovih veb sajtova. &bdq... Dalje

Procurili podaci o Fajzerovoj vakcini koje su ukrali nepoznati hakeri

Procurili podaci o Fajzerovoj vakcini koje su ukrali nepoznati hakeri

Evropska agencija za lekove (EMA) je saopštila da su neki podaci o vakcini protiv COVID-19 koju proizvode Pfizer i BioNTech ukradeni sa njenih server... Dalje