Vážná bezpečnostní chyba ve skriptu Google Apps Skript připojený před zneužitím Hit Google Drive

4457
Christopher Rogers

Google Apps Script je programovací jazyk založený na JavaScriptu, který je často považován za jednu z efektivnějších možností pro vývoj lehkých aplikací. Bylo široce používáno k vývoji jednoduchých nástrojů pro správu práce a sloužilo jako páteř doplňků a rozšíření pro Dokumenty, Tabulky a Prezentace Google.

Ale jako každý jiný programovací jazyk na planetě, i nabídka Google má své nedostatky a omezení. Nedávno objevená chyba zabezpečení v programovacím jazyce Apps Script však mohla hackerům umožnit cílit na uživatele cloudu doručováním malwaru prostřednictvím Disku Google, vlastní řešení online úložiště souborů vyhledávacího giganta.

Vážná zranitelnost byla spatřen společností zabývající se kybernetickou bezpečností, Proofpoint, jehož odborníci uvedli, že zranitelnost mohlo být zneužito k doručení jakékoli formy malwaru na nic netušící zařízení uživatele. Dobrou zprávou však je, že dosud nebyly hlášeny žádné takové zprávy o zlých činech spáchaných využitím této chyby.

O způsobu působení malwaru a jeho potenciálu způsobit škody, bezpečnostní výzkumník Proofpoint, Maor Bin řekl:

Výzkum společnosti Proofpoint zjistil, že Google Apps Script a běžné funkce sdílení dokumentů zabudované do Google Apps podporovaly automatické stahování malwaru a propracovaná schémata sociálního inženýrství navržená tak, aby přesvědčila příjemce, aby malware po jeho stažení spustili. Také jsme potvrdili, že u tohoto typu útoku bylo možné spustit exploity bez interakce uživatele.

Výše uvedenou chybu navíc mohli hackeři zneužít k šíření malwaru v ještě hrozivějším měřítku, než tomu bylo dříve u maker Microsoft Office prostřednictvím trasy SaaS (Software As A Service)..

Ještě znepokojivější je však skutečnost, že na rozdíl od minulých případů hackerů využívajících aplikace Google, která byla závislá na tom, že uživatelé otevřeli falešný odkaz na Dokumenty Google, mohla nedávno objevená chyba pošlete legitimní odkaz nic netušícím uživatelům udělat špinavý čin.

Proofpoint upozornil Google na svá zjištění před zveřejněním zprávy a společnost od té doby provedla nezbytná opatření k nápravě chyby a zabránit jeho zneužívání.


Zatím žádné komentáře