Vulnerabilidad en Google Drive podría ser utilizada para Pishing

Google aunque tiene muchos mecanismos de seguridad en sus servicio, no esta libre de agujeros de seguridad y eso precisamente es lo que ha encontrado Ansuman Samantaray.

Samantaray afirma que existe una forma de ejecutar sentencia JavaScript en la vista previa de los documentos de Google Drive, lo cual permitiría ataques de Phishing o propagación de Malware.

Así que cuando un usuario de Google drive sube o crear un archivo en el servicio, existe un parámetro llamado «export» en la URL que es igual a «download» por defecto.

https://docs.google.com/uc?authuser=0&id=0B6mcoM7O55_jWXp2N2FvdHBVTTg&export=download

Samantaray encontró que si un hacker cambia «export» por «view», y el documento tiene un script, Google ejecuta el código en el navegador.

https://docs.google.com/uc?authuser=0&id=0B6mcoM7O55_jWXp2N2FvdHBVTTg&export=view

«Cualquier usuario de Internet puede escribir scripts maliciosos y guardarlo en un documento, para luego enviarlo por correo electrónico a una víctima y que se ejecute el código en su navegador» dijo Samantaray a The Hacker News.

Para demostrarlo hay un archivo en Google Drive para descargar, tal y como se ve en la siguiente imagen:

file

Y otro donde se ha cambiado el parámetro para ver (ejecutando un script) para dejar en evidencia el fallo.

hacking google
Categorías
Tags

About Gustavo Martinez

Phd. en computación, Senior Bloguer, Amante de la tecnología móvil, aplicaciones web, educación online.

Una respuesta en Vulnerabilidad en Google Drive podría ser utilizada para Pishing

  1. Pingback: Bitacoras.com

Deja un comentario

Por favor, usa tu nombre real en vez de un nick.

Time limit is exhausted. Please reload CAPTCHA.