Google heeft een kwetsbaarheid gedicht in de feedback tool die hackers in staat stelde om toegang te krijgen tot vertrouwelijke Google Docs documenten.
Veel Google-producten, zoals Google Docs, zijn voorzien van een ‘Send feedback’ of ‘Help Docs’ functie. Hiermee kunnen gebruikers feedback versturen, eventueel vergezeld van een screenshot.
Deze functie wordt echter via een iframe geladen vanuit feedback.googleusercontent.com. Kwaadwillenden bleken in staat te zijn om bezoekers via die iframe naar een andere website te laden en screenshots van Google Docs-documenten te stelen die eigenlijk naar de servers van Google geüpload hadden moeten worden, aldus The Hacker News.
De kwetsbaarheid is in juli door beveiligingsonderzoeker Sreeram KL gemeld. Hij heeft daarvoor uit het Vulnerability Reward Program een beloning van ongeveer 3.100 dollar gekregen. Google heeft de fout inmiddels opgelost.
