En el verano de 2020, el investigador Shriram K.L. ha ganado $ 3,133.70 en recompensa por descubrir un error de Google Docs. Esto se debe a que la herramienta de comentarios de Google podría haberse utilizado para robar información confidencial.

Muchos productos de Google (incluido Google Docs) están equipados con las funciones de enviar comentarios y ayuda para mejorar las funciones. Permiten a los usuarios enviar comentarios, así como adjuntar capturas de pantalla para mostrar un problema específico.

esquema del ataque usando el error de Google Docs

Comentarios maliciosos

Estas funciones no se duplican en los diferentes servicios, sino que los se implementan en el sitio principal de Google (google.com). Por lo tanto, se integran en otro lugar a través de un iframe que carga el contenido emergente de feedback.googleusercontent.com.

El investigador explica que cuando adjunta una captura de pantalla de una ventana de Google Docs, para renderizar una imagen requiere pasar los valores RGB de cada píxel a google.com. Luego redirige esos valores a un dominio de retroalimentación, que finalmente crea la imagen y la envía de regreso como Base64. El investigador encontró un error en la forma en que estos mensajes se envían a feedback.googleusercontent.com. El error permitió modificar el marco dirigiendo el contenido a un sitio externo arbitrario, robando o interceptando capturas de pantalla destinadas a ser subidas a los servidores de Google. El problema estaba relacionado con el encabezado X-Frame-Options que faltaba en el dominio de Google Docs. A continuación se puede ver una demostración del ataque.

El ataque requirió cierta interacción con el usuario (por ejemplo, hacer clic en el botón “Enviar comentarios”), luego el exploit podría aprovechar la vulnerabilidad, interceptar la URL de la captura de pantalla cargada y transmitirla a un sitio malicioso. El experto dice que el ataque podría haberse llevado a cabo incrustando un archivo de Google Docs en un iFrame en un sitio malicioso y luego interceptando la ventana emergente de comentarios y redirigiendo su contenido al dominio elegido por el atacante.