0
0
Um hacker considerado “ético” auxiliou o Google a corrigir uma grave vulnerabilidade em sua suíte Documentos (mais famosa simplesmente como “Docs”).
Essa falha poderia ser explorada por criminosos cibernéticos para roubar dados sigilosos de documentos alheios. A brecha foi descoberta em julho de 2019 e só após uma longa conversa entre o pesquisador e a empresa, o bug foi recentemente corrigido nos produtos afetados. Esse problema estava no recurso “Ajude a melhorar o Documentos Google” (ou “Send feedback”, no original em inglês), projetado para que o internauta envie comentários, reclamações e sugestões para a companhia aprimorar o aplicativo. O usuário pode ainda anexar uma screenshot (captura de tela) caso queira explicar alguma proposta bem específica, como uma alteração em um menu, por exemplo.
De acordo com o pesquisador que se identifica como Sreeram KL, o erro do Google foi projetar essa funcionalidade como uma simples janela iFrame hospedada em outro subdomínio, que, no caso, é o feedback.googleusercontent.com. Isso significa que eventuais screenshots precisam ser transferidas do domínio principal para este secundário caso você queira enviar uma imagem para a empresa. Sreeram conseguiu interceptar essa comunicação e enviar a captura de tela para seu próprio servidor e domínio, roubando a imagem que possivelmente contém informações de cunho sensível. Claro, o ataque exige uma série de condições para funcionar (como um documento do Docs embutido em uma página maliciosa e a interação do usuário), mas ainda assim é preocupante.
O Google deu uma recompensa ao pesquisador com US$ 3,1 mil (cerca de R$ 16,3 mil) em seu programa de caça aos bugs.
A irregularidade foi corrigida em todos os aplicativos que eram afetados, de forma que não há motivos para se preocupar.
FONTE: RADIO GEEK