包括Google Docs以内的很多谷歌产品都有"Send feedback"或"Help Docs improve"的选择项,容许客户推送包括截屏的反应来改进产品。该意见反馈特点布署在谷歌的主网www.google.com,并根据iframe元素集成化在别的网站域名中,在iframe元素可以从feedback.googleusercontent.com 载入弹框內容。
设想大家应用Google Docs (https://docs.google.com/document) 并递交一个意见反馈。点一下Help--> Send Feedback 后,就可以见到弹出来的弹框载入了文本文档的截屏。Iframe的源(www.google.com) 与Google docs (docs.google.com)是不一样的,因而要取得成功递交该截屏务必要开展跨域请求通讯。事实上,Google docs会根据postmessage推送每一个清晰度的RGB值给www.google.com,随后再根据postmessage跳转这种RGB值到其iframe feedback.googleusercontent.com,随后从清晰度的RGB值3D渲染图象,并将base64编号的数据信息URI推送回主iframe。
这一全过程结束后,要写一个feedback的叙述,并点一下推送叙述和图象到https://www.google.com。
科学研究工作人员Sreeram在信息发送至feedback.googleusercontent.com的历程中看到了一个网络安全问题,网络攻击运用该缺陷可以改动frame未随意的外界网址,因而,可以盗取和挟持要上传入谷歌服务项目的Google Docs截屏。
系统漏洞造成的因素是Google Docs网站域名欠缺X-Frame-Options header,因而有可能改动信息的总体目标源(target origin),并运用网页页面和frame的跨域请求通讯来完成进攻。
该攻击是要客户互动的,例如点一下“send feedback”按键,漏洞检测可以获得要提交的截屏并盗取和发送至恶意站点。网络攻击只要将Google Docs文件置入到虚报/恶意网站的iframe就可以挟持feedback弹框来跳转內容到网络攻击操纵的网站域名。
POC短视频参照:https://www.youtube.com/embed/isM-BXj4_80
大量关键技术参照:https://blog.geekycat.in/google-vrp-hijacking-your-screenshots/
文中翻譯自:https://thehackernews.com/2020/12/a-google-docs-bug-could-have-allowed.html