Google云端硬盤漏洞可能使黑客欺騙用戶下載惡意軟件

Google云端硬盤存在一個(gè)漏洞，根據(jù)系統(tǒng)管理員A Nikoci的說法，該漏洞可以使黑客欺騙用戶安裝惡意軟件。Nikoci在接受Hack??er News采訪時(shí)表示，黑客可能會(huì)濫用Google Drive中未修補(bǔ)的安全漏洞來散布偽裝成合法圖像或文檔的損壞或惡意文件。他說，他已使Google意識(shí)到該錯(cuò)誤。

該安全漏洞位于Google云端硬盤的“管理版本”功能中。管理版本功能允許用戶上載以及管理文件的不同版本。使用此功能，用戶可以跟蹤對其Google云端硬盤文件所做的任何更改，包括跟蹤誰進(jìn)行了這些更改。

可以注意到的更改包括跟蹤何時(shí)有人在Google文檔中進(jìn)行了編輯或注釋，重命名了文件或文件夾，將新文件上載到文件夾，移動(dòng)或刪除了項(xiàng)目以及何時(shí)有人共享或取消共享文件或夾。

根據(jù)報(bào)告，當(dāng)通過“管理版本”替換文件時(shí)，Google云端硬盤不會(huì)檢查文件的類型是否相同，甚至不執(zhí)行相同的擴(kuò)展名。Nikoci表示，僅當(dāng)新文件具有相同的擴(kuò)展名時(shí)，該功能才應(yīng)替換舊文件，但事實(shí)并非如此。此外，在文件下載或安裝之前，在線預(yù)覽不會(huì)在替換文件的過程中警告用戶或發(fā)出任何警報(bào)。因此，用戶不知道自己的合法文件已被惡意文件替換，從而造成損壞。即使其他防病毒軟件檢測到惡意軟件，Google Chrome瀏覽器也會(huì)信任通過Google云端硬盤下載的文件。

黑客可以使用此安全漏洞進(jìn)行魚叉式網(wǎng)絡(luò)釣魚攻擊。魚叉式網(wǎng)絡(luò)釣魚攻擊旨在收回用戶的機(jī)密信息，從而造成用戶傷害。

Google尚未對此發(fā)表正式聲明，但根據(jù)IANS的最新報(bào)告，該公司最近已修復(fù)了最新版本的Chrome瀏覽器中的一個(gè)嚴(yán)重漏洞，該漏洞可能導(dǎo)致代碼執(zhí)行。

Google Chrome網(wǎng)絡(luò)瀏覽器的“ WebGL”組件中有一個(gè)“售后使用”漏洞，該漏洞可能允許用戶在瀏覽器進(jìn)程的上下文中執(zhí)行任意代碼。通過適當(dāng)?shù)膬?nèi)存布局操作，攻擊者可以完全控制此釋放后使用漏洞，該漏洞最終可能導(dǎo)致在瀏覽器上下文中任意執(zhí)行代碼。

思科Talos的Jon Munshaw表示，安全研究人員與Google進(jìn)行了合作，以確保解決這些問題并為受影響的客戶提供更新。

Munshaw周一對IANS說：“該漏洞專門存在于ANGLE中，ANGLE是Chrome在Windows系統(tǒng)上使用的OpenGL與Direct3D之間的兼容層，”

黑客可以以某種方式操縱瀏覽器的內(nèi)存布局，從而可以控制自由使用后的利用，最終可能導(dǎo)致任意代碼執(zhí)行。