Новости Уязвимость в Google Диске позволяет подменять файлы вредоносными версиями

Ахилл

Профессионал
Ветеран пробива
Private Club
Старожил
️Платиновый меценат💰️💰️💰️💰️
Регистрация
27/7/18
Сообщения
3.851
Репутация
15.431
Реакции
23.683
RUB
0
Сделок через гаранта
16
Уязвимость в функции «Управление версиями» может использоваться для осуществления эффективных фишинговых атак.

В облачном сервисе Google Диск обнаружена уязвимость, которой могут воспользоваться злоумышленники для подмены легитимных документов или изображений их вредоносными версиями, что открывает возможность для осуществления целевых фишинговых атак.

Проблема кроется в функции «Управление версиями» (manage versions), позволяющей пользователям загружать и управлять различными версиями файла, а также в том, как интерфейс предлагает новую версию файла.

Теоретически, функциональность «Управление версиями» должна предоставлять пользователям возможность обновить старый файл новой версией, имеющей то же расширение, но, как выяснил специалист А. Никоси (A. Nikoci), в действительности, сервис позволяет загружать новую версию хранящегося в облаке файла с любым расширением. Таким образом, злоумышленник может подменить любой файл вредоносным вариантом, причем при предпросмотре он будет казаться совершенно безобидным.

Как пояснил Никоси, Google разрешает изменять версию файла, но не проверяет, тот ли это тип файла и имеет ли он то же расширение.

Исследователь предупредил Google о проблеме, но компания оставила ее без внимания. Процесс эксплуатации уязвимости представлен в видео ниже.








09:06 / 24 Августа, 2020
 
  • Нравится
Реакции: СБ
Сверху Снизу