В сетевом диске американской компании найдена уязвимость, позволяющая использовать его для фишинга или мошенничества
Как выяснили «Известия», через интернет-хранилище Google Drive можно осуществлять спам-рассылку. Уязвимость корреспонденту «Известий» подтвердили эксперты антивирусной компании «Доктор Веб».
По оценке специалистов J’Son and Partners, число пользователей Google Docs по всему миру превышает 425 млн.
Google Docs — составная часть сетевого хранилища информации Google Drive, которая позволяет авторизованным пользователям Google в режиме реального времени создавать и редактировать документы, совместимые с форматами Microsoft Word, Excel и PowerPoint, а также позволяет предоставлять общий доступ к этим документам пользователям почты Gmail. Однако функция настройки доступа сделана таким образом, что с ее помощью можно осуществлять спам-рассылку.
Создав документ формата docx в своем личном кабинете, пользователь, нажав кнопку «Настройка доступа», может ввести электронные адреса любых пользователей почты Gmail, которым надо отправить этот документ. После нажатия кнопки «Готово» в личном кабинете пользователей-жертв, чьи адреса были добавлены, появится этот документ. При этом разрешения на появление данного документа у них в личном кабинете никто не спрашивает.
Специалисты компании «Доктор Веб» оговорились, что использовать такой метод для широкомасштабной спам-рассылки невыгодно, так как максимальное число пользователей, которым можно предоставить доступ к документу, — 200 человек.
В компании Symantec, специализирующейся на защите данных, считают, что автоматическая доставка документов любому пользователю — в любом случае не самая лучшая идея.
— Причин несколько: такой возможностью может воспользоваться злоумышленник для замусоривания чужих папок, передачи людям ненужного контента, оскорблений, ложной информации, попыток атаковать пользователей и т.д, — рассуждает руководитель группы ИБ Symantec Олег Шабуров. — Как любой уважающий себя провайдер, Google, скорее всего, проверяет загружаемые файлы на наличие вредоносного содержимого. Но злоумышленник может создать образец кода, который не будет детектироваться антивирусом, а может поступить проще: например, выложить в файле ссылку на зараженный сайт.
По его словам, c точки зрения безопасности и удобства использования было бы логично позволить пользователю влиять на возможность других людей добавлять документы в Google Drive. Например, создавать списки тех, кто может добавлять документы без дополнительных разрешений или же только после подтверждения владельца учетной записи и т.п.
— Такая мера могла бы сделать систему более гибкой, удобной и безопасной, — резюмирует Шабуров.
Данная оплошность Google представляет опасность и по другой причине: в октябре специалисты «Лаборатории Касперского» обнаружили, что если в тело письма, отправленного с Gmail на Gmail, вставить ссылку на документ Google Docs, то эта ссылка не проверяется встроенными антивирусными средствами самого почтовика.
— Иногда ссылка в спаме ведет на документ Google, а в документе уже содержится рекламная информация. Это делается для обхода контентных фильтров. Кроме того, формой google.spreadsheets (онлайновый табличный процессор, аналог MS Excel. — «Известия») последнее время часто пользуются мошенники, для того чтобы украсть почтовый адрес пользователя, — рассказывает руководитель отдела контентных аналитиков «Лаборатории Касперского» Дарья Гудкова. — Пользователю приходит письмо якобы от почтового администратора, где под разными предлогами — к примеру, под предлогом того, что превышен лимит размера почтового ящика, — пользователя просят перейти по ссылке на таблицы Google. Там ему предлагают ввести логин и пароль от почтового ящика, и после того, как он нажмет submit, эти данные отправляются мошенникам.
Благодаря новой уязвимости мошенники смогут пойти по другому пути: снимается необходимость посылать письма ссылкой на документы Google. Можно, создав новый документ, дать ему интересное название и открыть к нему доступ потенциальным жертвам, которые получат уведомление от Google. В нем будет сказано, что открыт доступ к файлу с каким-либо громким названием — например, «Совершенно секретно». Как правило, злоумышленники играют именно на любопытстве жертвы.
Сервисы, позволяющие читать, но не редактировать документы форматов офиса Microsoft в режиме онлайн, есть также и у компаний «Яндекс» и Mail.ru Group. У них, так же как и у Gmail, при просмотре документа в целях безопасности отключены макросы.
В «Яндекс» сообщили, что их сервис преобразует полученные документы в язык гипертекстовой разметки — html, что позволяет пользователю читать и просматривать содержимое документа, не опасаясь, что срабатывания «вшитый» макрос, который может быть вредоносным.
В почтовой службе Mail.Ru также можно отправлять документы другим пользователям, зная их e-mail.
— У нас документы отправляются обычным письмом (как вложенные файлы), и соответственно, как и любое другое письмо, проверяются всеми нашими антиспам-фильтрами. Поэтому такие попытки спама мы останавливаем, — поясняет руководитель Почты Mail.Ru Сергей Мартынов. — В современном мире любая возможность отправить сообщение другому пользователю может приводить к тому, что ее начинают использовать спамеры. Соответственно, задача любого сервиса — обеспечить должную защиту, чтобы пользователи не страдали. Думаю, что компания Google пока просто не подумала о том, чтобы подключить антиспам-технологии к обмену документами, однако если проблема приобретет массовый масштаб, уверен, они об этом позаботятся.
На момент написания статьи комментария от компании Google не поступало.
