Gsuiteやgoogleのファンサイト

Google,GAFA関連ニュース

Google

Google ドキュメントのバグを通じて、ハッカーはあなたの個人データにアクセスすることができます / Google

投稿日:

ほとんどすべての人が自分の電子メールに機密文書を持っています。したがって、プライバシーは、誰もあなたのファイルを見たり、あなたのファイルにアクセスできるようにしなければなりません。しかし、最近、Googleはフィードバックツールにあった欠陥に対処しました。その結果、プライベートファイルは、偽のウェブサイトや悪意のあるウェブサイトに埋め込むことで、ハッカーによって悪用される可能性があります。簡単に言えば、ハッカーはあなたの文書のスクリーンショットを撮ることができ、それらのファイルをその利益のために使用することができます、またはこれらのハッカーは恐喝を通じてあなたから身代金を取ることができます。

セキュリティ研究者は、このような欠陥を指摘しました。彼はハッカーの手から何百万もの機密文書を保存しました。したがって、彼は脆弱性報酬プログラムの一環として彼の途方もない仕事のための報酬としてほぼ$3200を与えられました。

多くの人がGoogle製品のスクリーンショットを撮るオプションと一緒にフィードバックを送信する必要がありました。Google ドキュメントには、ドキュメントの改善に役立つオプションやヘルプを表示するオプションもあります。ユーザーがスクリーンショットと一緒にそのようなフィードバックを送信した場合、攻撃者はそのようなスクリーンショットにアクセスできます。

これはそうではありません。Googleの主要ウェブサイトwww.google.comは、フィードバックを送信するのと同じオプションを持っています。ユーザーのフィードバックが自動的にfeedback.googleusercontent.comにアップロードされる

スリーラムがそのような欠陥をどのように指摘したか。彼はfeedback.googleusercontent.comにメッセージを渡し、ハッカーがGoogleのサーバーにアップロードされるこれらのスクリーンショットを取得することを許可しました。ハッカーは簡単にこのようなスクリーンショットにアクセスし、これを通じて、Sreeramはそのようなバグを特定しました。さらに、彼はiframeの起源がGoogleドキュメントとは異なっていると特定し、そのようなスクリーンショットは投稿されたメッセージを通してレンダリングされます。フィードバックに Google ドキュメントのスクリーンショットが含まれる場合。は、各ピクセルの RGB 値をgoogle.comに伝達することによって凝縮されます。このような RGB 値は、フィードバック ドメインで読み取られます。

このバグがまだ未確認の場合、Google ドキュメントのセキュリティに悪影響を及ぼす可能性があります。多くの人が、プライベートファイルやドキュメントを失う可能性があります。Sreeramは、ハッカーがフレームをランダムな悪意のあるウェブサイトに変更することができ、それを通じてそのような画像やスクリーンショットを切り取ることができると説明しました。さらに、このバグは、X-frame-オプションがGoogleのドキュメントドメインになかったために発生したと説明しました。これは、メッセージの起源を変更することを可能にしました。

クロスオリジン通信の発信元を提供できない場合は、外部のWebサイトに機密データが表示されます。この問題は、専門家によって特定された後に対処されています。

 

-Google

Copyright© Google,GAFA関連ニュース , 2021 All Rights Reserved Powered by STINGER.