O pesquisador de segurança Sreeram KL descobriu uma falha no Google Docs
que poderia dar a um hacker
acesso ao conteúdo de documentos armazenados no serviço.
Você viu?
A falha estava localizada na ferramenta “Send Feedback” (“Ajude a melhorar o Documentos Google”, na versão em português do Docs), que permite que os usuários sugiram melhorias ou reportem ao Google problemas no editor de textos. Nesta ferramenta há uma opção para enviar, junto com um comentário, um screenshot do documento atualmente aberto.
Segundo Sreeram KL, a falha no Google Docs consiste em um meio de redirecionar os dados que compõem este screenshot para outro domínio, controlado por ele, “roubando” a imagem que deveria ser enviada aos servidores do Google. O vídeo abaixo demonstra o fluxo do ataque:
Explorar esta falha no Google Docs
requer interação do usuário e os dados roubados são limitados à parte do documento que está atualmente visível na tela, ou seja, é um algo muito específico. Mas ainda assim, ela representa um risco de exposição de informações pessoais
. E devemos lembrar que os hackers
são bons em fazer uma vítima caminhar direto para uma armadilha.
A falha, que foi reportada em julho e corrigida recentemente, rendeu ao pesquisador US$ 3.133,70 (cerca de R$ 16,4 mil) como parte do programa de recompensas do Google
, que incentiva pesquisadores a encontrar e reportar falhas de segurança
nos produtos da empresa.