В популярном сервисе Google найдена критическая уязвимость
Мошенничество при помощи адресного фишинга остается одним из наиболее популярных способов взлома и кражи личной информации. Казалось бы, крупные облачные гиганты должны тщательно проверять файлы перед их размещением на своих серверах. Как выяснилось, сервис облачного хранилища «Google Диск» позволяет хакерам подменивать пользовательские файлы на вредоносные.
«Диск» позволяет редактировать и исправлять файлы уже после того, как они были загружены в облако. Что странно, после внесения изменений система не меняет ссылку и не проверят содержимое на вирусы. Более того, даже если доступ к файлу был предоставлен другим пользователям, злоумышленник может подменить его вредоносным. В результате это приведет к массовой загрузке опасных объектов.
«Google позволяет вам изменять файл и не проверяет, является ли он того же типа. Компания даже не смотрит, имеет ли он одно и то же расширение», - отметил эксперт, обнаруживший уязвимость.
На видео выше наглядно продемонстрировано, как работает эта брешь в облачном хранилище. Что любопытно, злоумышленнику необязательно создавать файл с таким же расширением, что и у существующего: он волен подменить изображение исполняемым файлом. Главное, чтобы имя не отличалось от оригинала.
Интересно, что совсем недавно Google устранила уязвимость в безопасности в Gmail, позволявшую злоумышленнику отправлять поддельные электронные письма от лица любого пользователя Gmail или G Suite.
