В инструменте обратной связи Google Docs обнаружена опасная уязвимость, которая позволяла похищать скриншоты чужих документов. Об этом сообщил исследователь безопасности под псевдонимом Sreeram KL.
У Google есть функция «Отправить отзыв» в большинстве своих продуктов. Это помогает Google получать отзывы от пользователей, когда те сообщают о какой-то проблеме. Эта функция позволяет добавлять снимки экрана с кратким описанием проблемы.
То есть, пользователи могут прикрепить к своему сообщению скриншоты. Исследователь заметил уязвимость в том, как информация передавалась домену feedback.googleusercontent.com. Таким образом, злоумышленник получает возможность заменить фрейм любым внешним сайтом, что позволяет ему перехватывать скриншоты Документов Google.
Исследователь безопасности сообщил об этом компании Google, за что получил вознаграждение - 3,1 тысяч долларов. На данный момент неисправность устранена.