Nueva vulnerabilidad en Google Docs ignorada

marzo 15, 2013 § Deja un comentario

Ansuman Samantaray, un pentester indio descubrió una falla de seguridad pequeña, pero creativa en Google Drive que puede representar una amenaza de phishing a millones de usuarios y que Google ha ignorado desde diciembre, al igual que con esta otra.

Según Ansuman, existe una forma de ejecutar sentencia JavaScript en la vista previa de los documentos de Google Drive, lo cual permitiría ataques de phishing y propagación de malware (Drive-By).

Cuando un usuario de Google sube o crear un archivo en Google Drive/Docs, el parámetro “export” de la URL es igual a “download” de forma predeterminada.

https://docs.google.com/uc?authuser=0&id=0B6mcoM7O55_jWXp2N2FvdHBVTTg&export=download

Ansuman encontró que si un atacante cambia “export” por “view”, y el documento tiene un script, Google ejecuta el código en el navegador.

https://docs.google.com/uc?authuser=0&id=0B6mcoM7O55_jWXp2N2FvdHBVTTg&export=view

“Cualquier usuario de Internet puede escribir scripts maliciosos y guardarlo en un documeno paa luego enviarlo por correo electrónico a una víctima y que se ejecute el código en su navegador” le dijo a The Hacker News.

Con fines de demostración hay un archivo en Google Drive para descargar (se puede ver el script de la imagen) y para ver (se ejecuta el script) en donde queda claro la diferencia.

Cristian de la Redacción de Segu-Info

Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

¿Qué es esto?

Actualmente estás leyendo Nueva vulnerabilidad en Google Docs ignorada en Seguridad Informática.

Meta

A %d blogueros les gusta esto: