Google Docs漏洞可让黑客劫持用户文件

Google Docs必需要获得用户帐密才能取得文件。不过研究人员发现Google Docs的一项漏洞,可让黑客从Google访问到秘密信息。

研究人员Sreeram KL今年7月发现该漏洞并通报Google。这项漏洞出在Google各项服务都有的“发送反馈”(Send Feedback)功能。按下后,用户需要输入一段描述,必要时再粘贴网页截图辅助说明。由于这是一项通用功能,因此Google是将这功能部署在https://www“.”google.com网站的iFrame上,再送到其他服务域名。

在Google Docs提供反馈意见的运行流程是,用户按下“发送反馈”功能时,会在跳出的feedback“.”googleusercontent.com iFrame中输入文本和粘贴截图。在这截图会出现交叉来源通信(cross-origin communication)的情形:Google Docs先将图片每个像素的RGB值,以postmessage送到主要的https://www“.”google.com(Submit Feedback ) iFrame,后者再以postmessage传到feedback“.”googleusercontent.com iFrame中进行渲染展图。展图完毕且用户输入完成、按下发送回复时,文本、截图、Data URI再以postmessage送回https://www“.”google.com(Submit Feedback) iFrame。

这时只要能将最后一段postmessage消息中的目的地,由google“.”com iFrame修改成外部网站iFrame,就能劫持Google Docs截图。正常情况下,来回两方向的postmessage来源及目的地域名应该要一样,但研究人员发现,Google Docs域名少了个X-Frame header,这使他能如愿将目标iFrame的位置,由www“ .”goole.com改成了外部第三方域名。少了对最后一段postmessage域名不一致的检查,研究人员或黑客即可以由此取得受害者Google Docs截图。

这个手法需要受害者点击“发送反馈”键,似乎不太有效,但研究人员表示,只要在攻击者控制的外部网站的iFrame嵌入一个Google Docs文件,劫持发送反馈的iFrame,就能将内容纳入手中。

回应这名研究人员的通报,Google也颁发了3133.7美元的漏洞挖掘奖金。