Mercado abrirá em 6 h 5 min

Hacker ético encontra falha grave no Google Docs e recebe R$ 161 mil

Ramon de Souza
·2 minuto de leitura

Um hacker ético ajudou o Google a corrigir uma grave vulnerabilidade em sua suíte Documentos (mais famosa simplesmente como “Docs”) que poderia ser explorada por criminosos cibernéticos para roubar dados sigilosos de documentos alheios. A brecha foi descoberta em julho de 2019 e só após uma longa conversa entre o pesquisador e o Gigante das Buscas, o bug foi recentemente corrigido nos produtos afetados.

O problema estava no recurso “Ajude a melhorar o Documentos Google” (ou “Send feedback”, no original em inglês), projetado para que o internauta envie comentários, reclamações e sugestões para a companhia aprimorar o aplicativo. O usuário pode ainda anexar uma screenshot (captura de tela) caso queira explicar alguma proposta bem específica, como uma alteração em um menu, por exemplo.

Segundo o pesquisador — que se identifica na web simplesmente como Sreeram KL —, o erro do Google foi projetar essa funcionalidade como uma simples janela iFrame hospedada em outro subdomínio, que, no caso, é o feedback.googleusercontent.com. Isso significa que eventuais screenshots precisam ser transferidas do domínio principal para este secundário caso você queira enviar uma imagem para a empresa.

É aí que está o pulo do gato: Sreeram conseguiu interceptar essa comunicação e enviar a captura de tela para seu próprio servidor e domínio, roubando a imagem que possivelmente contém informações de cunho sensível. Claro, o ataque exige uma série de condições para funcionar (como um documento do Docs embutido em uma página maliciosa e a interação do usuário), mas ainda assim é preocupante.

Como recompensa, o Google presenteou o pesquisador com US$ 3,1 mil (cerca de R$ 16,3 mil) em seu programa de caça aos bugs. A falha já foi corrigida em todos os aplicativos que eram afetados, de forma que não há motivos para se preocupar.

Fonte: Canaltech

Trending no Canaltech: