Tin tặc có thể lén xem tài liệu thông qua lỗi này trên Google Docs

Một lỗ hổng bảo mật đã được vá có liên quan đến một lỗi trong công cụ phản hôi tích hợp trên các dịch vụ của chính Google. Cụ thể lỗi này khiến tin tặc dễ dàng đánh cắp ảnh chụp màn hình tài liệu Google Docs nhạy cảm chỉ bằng cách nhúng chúng vào các trang web có chứa mã độc.

Lỗ hổng được phát hiện vào ngày 9 tháng 7 bởi nhà nghiên cứu bảo mật Sreeram KL. Sreeram đã được thưởng 3133,70 đô la trong Chương trình Săn lỗ hổng bảo mật nhận thưởng của Google (Google’s Vulnerability Reward Program.)

Nhiều sản phẩm của Google, bao gồm cả Google Docs, có tùy chọn “Gửi phản hồi“ hoặc “Giúp Docs cải thiện” cho phép người dùng gửi phản hồi cùng với tùy chọn đính kèm ảnh chụp màn hình – tùy chọn này được tải tự động để mô tả vấn đề dễ dàng hơn.

Nhưng thay vì phải sao chép cùng một chức năng trên các dịch vụ của mình, tính năng Gửi phản hồi được triển khai trên trang web chính của Google (“www.google.com”) và được tích hợp vào các domain khác thông qua phần tử iframe tải nội dung của cửa sổ bật lên từ “feedback.googleusercontent.com.”

Điều này cũng có nghĩa là bất cứ khi nào ảnh chụp màn hình của cửa sổ Google Tài liệu được đưa vào, việc hiển thị hình ảnh yêu cầu phải truyền các giá trị RGB của mỗi pixel tới miền mẹ (www.google.com), sau đó chuyển hướng các giá trị RGB đó đến miền của phản hồi, mà cuối cùng xây dựng hình ảnh và gửi lại ở định dạng được mã hóa Base64.

Tuy nhiên, Sreeram đã xác định được lỗi nằm ở cách các phản hồi này được gửi đến ”feedback.googleusercontent.com”, do đó cho phép kẻ tấn công sửa đổi Frame thành một trang web tùy ý khác, lần lượt đánh cắp và chiếm đoạt các ảnh chụp màn hình của Google Docs, mà lẽ ra chúng phải được gửi tới máy chủ Google.

Đáng chú ý, lỗ hổng này bắt nguồn từ việc thiếu tiêu đề X-Frame-Options trong Domain Google Docs, điều này có thể làm thay đổi đích đến ban đầu của thông điệp và khai thác giao tiếp đa nguồn giữa trang và Frame trong đó.

Mặc dù cuộc tấn công yêu cầu một số hình thức tương tác của người dùng – tức là nhấp vào nút “Gửi phản hồi”,tuy nhiên một kẻ lợi dụng có thể dễ dàng tận dụng điểm yếu này để nắm bắt URL của ảnh chụp màn hình đã tải lên và chuyển nó đến một trang web độc hại.

Điều này có thể đạt được bằng cách nhúng tệp Google Tài liệu vào iFrame trên một trang web giả mạo và chiếm quyền điều khiển khung bật lên phản hồi để chuyển hướng nội dung đến trang web mà kẻ tấn công lựa chọn.

Việc cung cấp Target Origin thất bại trong quá trình giao tiếp cross-origin làm gia tăng mối lo ngại về bảo mật khi nó tiết lộ dữ liệu được gửi đến bất kỳ trang web nào.

“Luôn chỉ định nguồn gốc đích chính xác, không, khi bạn sử dụng postMessage để gửi dữ liệu đến các cửa sổ khác”, tài liệu của Mozilla nêu rõ. “Một trang web độc hại có thể thay đổi vị trí của cửa sổ mà bạn không biết và do đó nó có thể chặn dữ liệu được gửi bằng postMessage.”

Theo The Hacker News