Google Apps scripts permite ejecutar código en GMail

Andrew Cantino, VP de ingeniería de Mavenlink, ha descubierto que Google Apps Scripts puede emplearse por atacantes acceder al correo electrónico y otra información de los usuarios .

"Google Apps Script es un potente entorno de scripts proporcionado por Google y mediante el cual se puede hacer peticiones contra los datos de un usuario previamente autenticado ". Al autorizar un script de Google Apps, al usuario no se le informa claramente sobre los datos a los que un tercero tendrá acceso, y esto puede ser fácilmente utilizado para realizar ataques de ingeniería social.

Para probarlo Cantino creo una PoC con una aplicación a la que llamó a "Google Security Upgrader" que mediante el uso de un sencillo script crea una nueva etiqueta en la cuenta de GMail del usuario.

Si un usuario descarga la aplicación, verá que la aplicación solicita permiso para ver y gestionar su correo electrónico, pero muchos usuarios no son conscientes de lo que esto realmente significa y simplemente darían permiso a la aplicación.

Si los atacantes crean una aplicación similar, podrían hacer un sinnúmero de cosas maliciosas, incluyendo eliminar o robar datos, manipulación de información personal, propagar el script a todos sus contactos, etc.

Cantino ha notificado a Google sus hallazgos, pero por ahora, la compañía decidió no hacer nada al respecto: "Esto no es una vulnerabilidad técnica" señalaron y permitieron que hiciera público el tema.

Fuente: Andrew Cantino