Обнаружилось, что Google Drive не проверяет расширения и тип файлов при обновлении версий. Это может быть использовано для самых разных атак, в первую очередь, целевых.
Хороший файл, можно скачивать
Уязвимость в Google Drive могла быть использована злоумышленникам для распространения вредоносов под видом легитимных документов или изображений. Это может быть использовано для спиэрфишинговых атак.
Сама по себе уязвимость скрывается в функции «Управление версиями»: по идее она должна позволять заменять версии одних и тех же файлов более новыми с сохранением расширения. На деле же оказалось, что расширение можно произвольно менять, и Google Drive даже не проверяет тип файла. Иными словами, документ (например, PDF) можно подменить исполняемым файлом (EXE).
Существует возможность подменять таким образом файл, доступ к которому уже открыт для целой группы пользователей; при предварительном просмотре онлайн GoogleDrive никак не отреагирует на изменения.
Как это делается
Проблему обнаружил системный администратор и эксперт по безопаности А. Никочи (A. Nikoci). Судя по всему, браузер GoogleChrome по умолчанию доверяет любым файлам, скачанным с Google Drive, даже если на них реагирует антивирус.
«Это, как раз более-менее объяснимо: качество разных антивирусных решений неодинаково, многие могут давать ложные срабатывания, плюс у Google Drive и локально в Google Chrome реализованы некоторые инструменты защиты от вредоносного ПО, — говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — Другое дело, что отсутствие проверки типа и расширения файла при замене версии — это сущий “криминал”: такую уязвимость весьма легко использовать для совершения критически опасных кибератак. Пока неизвестно, что Google планирует предпринять по этому поводу, и было ли у него время на это, или же Никочи одновременно передал информацию в Google и в СМИ. Если это так, то подобный шаг отдает безответственностью».
Google Drive довольно часто используется в качестве хостинга для вредоносного ПО и фишинговых страниц. С начала этого года различные эксперты по безопасности обнаружили сразу несколько кампаний, где злоумышленники направляли своих жертв на Google Drive.
К настоящему моменту случаи реальной практической эксплуатации уязвимости неизвестны.
