У популярному сервісі Google знайдена критична уразливість

Шахрайство за допомогою адресного фішингу залишається одним з найбільш популярних способів злому і крадіжки особистої інформації. Здавалося б, великі хмарні гіганти повинні ретельно перевіряти файли перед їх розміщенням на своїх серверах. Як з’ясувалося, сервіс хмарного сховища «Google Диск» дозволяє хакерам підмінювати призначені для користувача файли на шкідливі.

«Диск» дозволяє редагувати і виправляти файли вже після того, як вони були завантажені в хмару. Що дивно, після внесення змін система не змінює посилання і не перевірять вміст на віруси. Більш того, навіть якщо доступ до файлу був наданий іншим користувачам, зловмисник може підмінити його шкідливим. В результаті це призведе до масової завантаження небезпечних об’єктів.

«Google дозволяє вам змінювати файл і не перевіряє, чи є він того ж типу. Компанія навіть не дивиться, чи має він одне і теж розширення », – зазначив експерт, який виявив уразливість. 

На відео вище наочно продемонстровано, як працює цей пролом в хмарному сховищі. Що цікаво, зловмисникові необов’язково створювати файл з таким же розширенням, що і у існуючого: він вільний підмінити зображення виконуваним файлом. Головне, щоб ім’я не відрізнялося від оригіналу. 

Цікаво, що зовсім недавно Google усунула уразливість в безпеці в Gmail, яка дозволяла зловмисникові відправляти підроблені електронні листи від імені будь-якого користувача Gmail або G Suite.