谷歌已经修补了其服务中集成的反馈工具中的一个错误,攻击者可以利用该错误将其嵌入到恶意网站中,从而窃取敏感的Google Docs文档的屏幕快照。
安全研究员Sreeram KL于7月9日发现了该漏洞,为此他作为Google漏洞奖励计划的一部分获得了$ 3133.70的奖励。
Google的许多产品,包括Google Docs,都带有“发送反馈”或“帮助文档改进”选项,该选项允许用户发送反馈以及包含屏幕截图的选项-该选项会自动加载以突出显示特定问题。
但是,反馈功能无需在其服务中重复相同的功能,而是部署在Google的主要网站(“ www.google.com”)中,并通过iframe元素集成到其他域中,该元素从“反馈”加载弹出式窗口的内容.googleusercontent.com。”
这也意味着,每当包含Google文档窗口的屏幕截图时,渲染图像都需要将每个像素的RGB值传输到父域(www.google.com),然后将这些RGB值重定向到反馈的域,最终构造图像并将其以Base64编码格式发送回去。
但是,Sreeram发现了将这些消息传递到“ feedback.googleusercontent.com”的方式中的一个错误,从而使攻击者可以将框架修改为任意外部网站,进而窃取和劫持Google Docs屏幕截图。旨在上传到Google的服务器。
值得注意的是,该缺陷源于Google Docs域中缺少X-Frame-Options标头,这使得可以更改消息的目标来源并利用页面与其中包含的框架之间的跨域通信。
尽管攻击需要某种形式的用户交互(即,单击“发送反馈”按钮),但利用程序可以轻松利用此漏洞来捕获上传的屏幕快照的URL并将其泄漏到恶意站点。
这可以通过在恶意网站上的iFrame中嵌入Google Docs文件并劫持反馈弹出框以将内容重定向到攻击者选择的域来实现。
在跨域通信期间未能提供目标源会引起安全方面的担忧,因为它会公开发送到任何网站的数据。
Mozilla文档指出:“当您使用postMessage将数据发送到其他窗口时,请始终指定确切的目标来源,而不是* 。” “恶意站点可以在您不知情的情况下更改窗口的位置,因此它可以拦截使用postMessage发送的数据。”
*编译:Domino
*来自:thehackernews