Google Apps Script to oparty na JavaScript język programowania, który jest często uważany za jedną z bardziej wydajnych opcji tworzenia lekkich aplikacji. Był szeroko stosowany do tworzenia prostych narzędzi do zarządzania pracą i służył jako podstawa dla dodatków i rozszerzeń do Dokumentów, Arkuszy i Prezentacji Google.
Ale jak każdy inny język programowania na naszej planecie, oferta Google również ma swoje wady i ograniczenia. Jednak niedawno odkryta luka w zabezpieczeniach języka programowania Apps Script mogła na to pozwolić hakerom atakować użytkowników chmury, dostarczając złośliwe oprogramowanie za pośrednictwem Dysku Google, własne rozwiązanie do przechowywania plików online giganta wyszukiwania.
Poważna luka była zauważony przez firmę zajmującą się cyberbezpieczeństwem, Proofpoint, których eksperci wskazali, że luka mogła zostać wykorzystana do dostarczenia jakiejkolwiek formy złośliwego oprogramowania do niczego niepodejrzewających urządzeń użytkowników. Jednak dobrą wiadomością jest to, że jak dotąd nie zgłoszono żadnych doniesień o złych czynach popełnionych przez wykorzystanie tej wady.
Na temat metody działania złośliwego oprogramowania i jego potencjału do wyrządzania szkód, badacz bezpieczeństwa Proofpoint, Maor Bin, powiedział:
Badania firmy Proofpoint wykazały, że Google Apps Script i zwykłe funkcje udostępniania dokumentów wbudowane w Google Apps obsługują automatyczne pobieranie złośliwego oprogramowania i zaawansowane schematy inżynierii społecznej mające na celu przekonanie odbiorców do uruchomienia złośliwego oprogramowania po jego pobraniu. Potwierdziliśmy również, że możliwe było wyzwalanie exploitów tego typu atakiem bez interakcji użytkownika.
Co więcej, wspomniany błąd mógł zostać wykorzystany przez hakerów do rozpowszechniania złośliwego oprogramowania na jeszcze groźniejszą skalę niż wcześniej w przypadku makr Microsoft Office za pośrednictwem ścieżki SaaS (Software As A Service).
Ale bardziej niepokojący jest fakt, że w przeciwieństwie do poprzednich przypadków hakerów wykorzystujących aplikacje Google, co było uzależnione od otwierania przez użytkowników fałszywego linku do Dokumentów Google, niedawno odkryta wada mogła wyślij uzasadniony link do niczego niepodejrzewających użytkowników zrobić brudny uczynek.
Proofpoint powiadomił Google o swoich ustaleniach przed upublicznieniem raportu, a firma już to zrobiła wdrożył niezbędne środki, aby naprawić usterkę i zapobiegaj nadużyciom.