Специалисты рассекретили сведения о критической уязвимости в сервисе Google Docs. Проблему устранили еще летом 2020 года, однако сведения о ней стали доступны только сейчас. Представители компании, окончившие курсы по кибербезопасности с нуля, сообщают, что хотели убедиться в надежности работы сервиса после устранения бага.
Что такое Google Docs, курсы по кибербезопасности с нуля
Прежде все рассказывать об уязвимости, необходимо объяснить про особенности работы сервиса. Облачный ресурс Google Docs предоставляет возможность использовать текстовые документы с любого носителя. В последние годы он практически полностью вытеснил программу Microsoft Word. Сервис Google Docs имеет все функции Microsoft Word с минимальными отличиями. Однако существенно удобнее стационарного ПО для компьютера. Преимущества сервиса очень быстро оценили пользователи, окончившие бесплатные курсы по кибербезопасности с нуля, по всему миру.
Среди особенностей Google Docs стоит отметить следующие:
- сохранение информации на облачном сервере;
- доступ к документам с любого вычислительного устройства;
- возможность работы прямо из браузера Chrome;
- интеграция с учетной записью Google и другими сервисами.
Все эти преимущества сделали Google Docs одним из наиболее популярных приложений в мире. Использование облачного сервиса сократило количество электронной переписки. А также позволило пользователям не использовать вложения в электронных письмах. Также такие документы могут редактировать и комментировать одновременно несколько пользователей. К тому же неоспоримым плюсом стала возможность не хранить все рабочие документы на жестком диске.
Особенности уязвимости в Google Docs
На сегодняшний день сервис ежедневно эксплуатирует около 60% пользователей Google. Потому разработчики решили запустить программу bug bounty, чтобы максимально обезопасить конфиденциальность пользователей. Тем не менее, оказалось, что даже в защищенных проектах есть баги и бэкдоры. Опытный исследователь решил выяснить, так ли безопасно доверять свои секреты Google Docs. Как оказалось, существуют способы чтения информации, не предназначенной для посторонних. Подобная уязвимость могла нанести огромный ущерб компаниям, которые доверяли сервису. И даже пользователям, прошедшим курсы по кибербезопасности в Санкт Петербурге, ведь от нее невозможно было защититься.
Как оказалось, баг эксплуатировал функции встроенного сервиса Send feedback. Он позволяет делать скриншоты документов и отправлять их конкретным адресатам. Эта функция позволяет оптимизировать рабочий процесс и внесение исправлений в документы. Однако баг позволял хакеру перехватить такие скриншоты и переслать их на собственный сервер. Тут важно отметить, что злоумышленники все же не могли самостоятельно сделать скриншот. Тем не менее, подобные скриншоты могут представлять существенную опасность для сохранения конфиденциальности.
Безусловно, разработчики Google очень серьезно отнеслись к проблеме. Они сразу же исправили уязвимость, но договорились с исследователем об отсрочке публикации уязвимости. Также они выплатили специалисты, нашедшему баг, более 31 тысячи долларов. Разработчики, проводящие курсы по кибербезопасности в Санкт Петербурге для детей, многократно проверили эффективность патча, и только потом обнародовали сведения об уязвимости. В результате, ни один хакер не успел воспользоваться уязвимостью. При этом не пострадали конфиденциальные данные пользователей.
Команда SEDICOMM University: Академия Cisco, Linux Professional Institute, Python Institute.