Nueva vulnerabilidad en Google Docs ignorada
Ansuman Samantaray, un pentester indio descubrió una falla de seguridad pequeña, pero creativa en Google Drive que puede representar una amenaza de phishing a millones de usuarios y que Google ha ignorado desde diciembre, al igual que con esta otra.
Según Ansuman, existe una forma de ejecutar sentencia JavaScript en la vista previa de los documentos de Google Drive, lo cual permitiría ataques de phishing y propagación de malware (Drive-By).
Cuando un usuario de Google sube o crear un archivo en Google Drive/Docs, el parámetro "export" de la URL es igual a "download" de forma predeterminada.
https://docs.google.com/uc?authuser=0&id=0B6mcoM7O55_jWXp2N2FvdHBVTTg&export=download
Ansuman encontró que si un atacante cambia "export" por "view", y el documento tiene un script, Google ejecuta el código en el navegador.
https://docs.google.com/uc?authuser=0&id=0B6mcoM7O55_jWXp2N2FvdHBVTTg&export=view
"Cualquier usuario de Internet puede escribir scripts maliciosos y guardarlo en un documeno paa luego enviarlo por correo electrónico a una víctima y que se ejecute el código en su navegador" le dijo a The Hacker News.
Con fines de demostración hay un archivo en Google Drive para descargar (se puede ver el script de la imagen) y para ver (se ejecuta el script) en donde queda claro la diferencia.
Cristian de la Redacción de Segu-Info
Según Ansuman, existe una forma de ejecutar sentencia JavaScript en la vista previa de los documentos de Google Drive, lo cual permitiría ataques de phishing y propagación de malware (Drive-By).
Cuando un usuario de Google sube o crear un archivo en Google Drive/Docs, el parámetro "export" de la URL es igual a "download" de forma predeterminada.
https://docs.google.com/uc?authuser=0&id=0B6mcoM7O55_jWXp2N2FvdHBVTTg&export=download
Ansuman encontró que si un atacante cambia "export" por "view", y el documento tiene un script, Google ejecuta el código en el navegador.
https://docs.google.com/uc?authuser=0&id=0B6mcoM7O55_jWXp2N2FvdHBVTTg&export=view
"Cualquier usuario de Internet puede escribir scripts maliciosos y guardarlo en un documeno paa luego enviarlo por correo electrónico a una víctima y que se ejecute el código en su navegador" le dijo a The Hacker News.
Con fines de demostración hay un archivo en Google Drive para descargar (se puede ver el script de la imagen) y para ver (se ejecuta el script) en donde queda claro la diferencia.
Cristian de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!