Das Hosten und Freigeben von Dokumenten und Dateien in der Cloud ist unter Benutzern sehr verbreitet. Eine Möglichkeit, auch Sicherungskopien zu erstellen und alles überall verfügbar zu haben. Wie wir uns vorstellen können, hat dies jedoch auch Sicherheitsprobleme. In diesem Artikel wird ein Fehler wiederholt, der Auswirkungen hat Google Text & Tabellen und das war in der Lage, Benutzerdokumente freizulegen.
Ein Fehler in Google Text & Tabellen macht Dokumente verfügbar
Google Text & Tabellen ist eines der am häufigsten verwendeten Online-Tools, wenn es darum geht, Textdokumente zu erstellen und mit anderen Nutzern zu teilen. Es ist zum Beispiel sehr nützlich, in einer Gruppe zu arbeiten sowie von verschiedenen Geräten aus arbeiten zu können und alles aktualisieren zu lassen.
Ein Sicherheitsforscher, Sreeram KL , entdeckte vor einigen Monaten einen Fehler, der diesen Google-Dienst betraf. Dies betraf insbesondere das Kommentartool, das in alle Docs-Dienste integriert ist. Dies könnte von einem Angreifer ausgenutzt werden und Screenshots vertraulicher Dokumente stehlen, indem sie einfach in eine schädliche Website eingebettet werden.
Beachten Sie, dass viele Google-Produkte, z. B. Google Text & Tabellen, die Option "Kommentare senden" oder "Hilfedokumente verbessern" bieten. Dies ermöglicht es Benutzern Feedback abgeben zusammen mit der Option, einen automatisch geladenen Screenshot einzuschließen, um bestimmte Probleme hervorzuheben, die möglicherweise vorhanden sind.
Diese Funktionalität wird über ein iframe-Element, das den Inhalt des Popup-Fensters von feedback.googleusercontent.com lädt, in die verschiedenen Dienste der Hauptdomäne integriert.
Dies bedeutet auch, dass wann immer a Screenshot Wenn Sie das Bild rendern möchten, müssen Sie die RGB-Werte jedes Pixels an die Hauptdomäne www.google.com übertragen. Später werden diese RGB-Werte in die Domäne der Kommentare umgeleitet, die das Bild erstellen und es im Base64-codierten Format zurücksenden.
Ermöglicht das Stehlen von Screenshots
Der Sicherheitsforscher identifizierte eine Fehler in der Art und Weise, wie diese Nachrichten an feedback.googleusercontent.com übertragen wurden. Dieser Fehler könnte es einem Angreifer ermöglichen, die Struktur einer externen Website willkürlich zu ändern und so Screenshots von Google Text & Tabellen zu stehlen und zu entführen, die auf die Server von Google hochgeladen werden sollten.
Dieses Problem wird durch einen fehlenden X-Frame-Options-Header in der Google Text & Tabellen-Domain verursacht. Dadurch können Sie die Zielquelle der Nachricht ändern und ausnutzen. Eine Benutzerinteraktion wäre erforderlich, da hierfür auf die Schaltfläche "Feedback senden" geklickt werden muss. Ein Exploit kann diese Sicherheitsanfälligkeit jedoch leicht ausnutzen und die URL des hochgeladenen Screenshots erfassen und somit auf eine schädliche Website filtern.
Letztendlich konnte dieser Fehler Benutzerdokumente verfügbar machen. Es ist wichtig, dass wir diese Art von Diensten sicher nutzen, wenn wir sie nutzen. Wir hinterlassen Ihnen ein Tutorial, in dem wir Tipps zur Verwendung der sicheren Cloud geben. Einige Empfehlungen, die verhindern können, dass unsere Daten gestohlen werden.
