В популярном сервисе Google обнаружена критическая ошибка.

Борьба с фишинговыми атаками остается одним из самых популярных способов взлома и кражи личных данных. Казалось бы, крупным облачным гигантам необходимо тщательно проверять файлы, прежде чем размещать их на своих серверах. Как оказалось, сервис облачного хранилища «Google Диск» позволяет хакерам заменять пользовательские файлы вредоносными.

«Диск» позволяет редактировать и исправлять файлы после того, как они были загружены в облако. Удивительно, но после внесения изменений система не меняет ссылку и не проверяет контент на вирусы. Более того, даже если другим пользователям был предоставлен доступ к файлу, злоумышленник мог заменить его вредоносной информацией. В результате это приведет к массовому поиску опасных предметов.

“GOOGLE РАЗРЕШАЕТ ВАМ ИЗМЕНИТЬ ФАЙЛ И НЕ ПРОВЕРЯЕТ ЕГО ТИП. «КОМПАНИЯ ДАЖЕ НЕ ВИДИТ, ЕСЛИ ИМЕЕТ ТАКОЕ РАСШИРЕНИЕ», – сказал эксперт, обнаруживший брешь.

Видео выше ясно показывает, как это нарушение работает в облачном хранилище. Интересно, что злоумышленнику не нужно создавать файл с тем же расширением, что и у существующего: он может превратить образ в исполняемый файл. Главное, чтобы название не отличалось от оригинала.

Интересно, что Google недавно устранил уязвимость Gmail, которая позволяла злоумышленнику отправлять мошеннические электронные письма от имени любого пользователя Gmail или G Suite.