Спецпроекты

Безопасность

Google Chrome не замечает хакерские файлы из Google Drive, несмотря на предупреждения антивирусов

Обнаружилось, что Google Drive не проверяет расширения и тип файлов при обновлении версий. Это может быть использовано для самых разных атак, в первую очередь, целевых. 

Хороший файл, можно скачивать

Уязвимость в Google Drive могла быть использована злоумышленникам для распространения вредоносов под видом легитимных документов или изображений. Это может быть использовано для спиэрфишинговых атак.

Сама по себе уязвимость скрывается в функции «Управление версиями»: по идее она должна позволять заменять версии одних и тех же файлов более новыми с сохранением расширения. На деле же оказалось, что расширение можно произвольно менять, и Google Drive даже не проверяет тип файла. Иными словами, документ (например, PDF) можно подменить исполняемым файлом (EXE).

Существует возможность подменять таким образом файл, доступ к которому уже открыт для целой группы пользователей; при предварительном просмотре онлайн GoogleDrive никак не отреагирует на изменения.

Как это делается

Проблему обнаружил системный администратор и эксперт по безопаности А. Никочи (A. Nikoci). Судя по всему, браузер GoogleChrome по умолчанию доверяет любым файлам, скачанным с Google Drive, даже если на них реагирует антивирус.

google1_600.jpg
Баг в Google Drive позволяет подменять легитимные файлы вредоносами

«Это, как раз более-менее объяснимо: качество разных антивирусных решений неодинаково, многие могут давать ложные срабатывания, плюс у Google Drive и локально в Google Chrome реализованы некоторые инструменты защиты от вредоносного ПО, — говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — Другое дело, что отсутствие проверки типа и расширения файла при замене версии — это сущий “криминал”: такую уязвимость весьма легко использовать для совершения критически опасных кибератак. Пока неизвестно, что Google планирует предпринять по этому поводу, и было ли у него время на это, или же Никочи одновременно передал информацию в Google и в СМИ. Если это так, то подобный шаг отдает безответственностью».

Google Drive довольно часто используется в качестве хостинга для вредоносного ПО и фишинговых страниц. С начала этого года различные эксперты по безопасности обнаружили сразу несколько кампаний, где злоумышленники направляли своих жертв на Google Drive.

К настоящему моменту случаи реальной практической эксплуатации уязвимости неизвестны.

Роман Георгиев

Короткая ссылка