Непропатченный баг в Google Drive позволяет злоумышленникам распространять вредоносные файлы, маскируя их под безобидные документы или изображения. Брешь существенно повышает шанс на успешную атаку целевого фишинга.
Представители Google, судя по всему, в курсе проблемы, однако, к сожалению, не спешат её устранять.
Сам баг присутствует в функции «Управление версиями», которая позволяет пользователям Google Drive загружать и распоряжаться разными версиями какого-либо файла.
Согласно замыслу разработчиков, эта функция должна подменять старую версию файла новой, сохраняя при этом то же расширение. Однако в реализации этого нюанса что-то пошло не так.
По словам исследователя, обнаружившего баг, пользователи могут загружать новые версии файлов с любым расширением, то есть даже вредоносные исполняемые файлы.
Специалист поделился тремя видеозаписями (можно ознакомиться ниже), на которых демонстрируется, как легитимный файл, который уже был расшарен с определённой группой людей, можно подменить вредоносным.
При этом сам Google Drive никак не предупреждает о том, что файл был изменён, также не выводит никаких уведомлений о поменявшемся расширении.
Эксперт передал всю собранную информацию представителям Google.
На прошлой неделе мы писали, что Google устранил серьёзную проблему безопасности в почтовых сервисах Gmail и G Suite. Однако патч вышел только после публикации эксплойта.