Google Docs漏洞可让骇客劫持用户文件

Google Docs必须要获得用户帐密才能取得文件。不过研究人员发现Google Docs的一项漏洞，可让骇客从Google存取到秘密资讯。

研究人员Sreeram KL今年7月发现该漏洞并通报Google。这项漏洞出在Google各项服务都有的“传送回馈”（Send Feedback）功能。按下后，使用者需要输入一段描述，必要时再贴上网页撷图辅助说明。由于这是一项通用功能，因此Google是将这功能部署在https://www[.]google.com网站的iFrame上，再送到其他服务网域。

在Google Docs提供回馈意见的运作流程是，用户按下“传送回馈”功能时，会在跳出的feedback[.]googleusercontent.com iFrame中输入文字和贴上撷图。在这撷图会出现交叉来源通讯（cross-origin communication）的情形：Google Docs先将图片每个像素的RGB值，以postmessage送到主要的https://www[.]google.com (Submit Feedback) iFrame，后者再以postmessage传到feedback[.]googleusercontent.com iFrame中进行渲染展图。展图完毕且用户输入完成、按下传送回复时，文字、撷图、Data URI再以postmessage送回https://www[.]google.com (Submit Feedback) iFrame。

这时只要能将最后一段postmessage讯息中的目的地，由google[.]com iFrame修改成外部网站iFrame，就能劫持Google Docs撷图。正常情况下，来回两方向的postmessage来源及目的地网域应该要一样，但研究人员发现，Google Docs网域少了个X-Frame header，这使他能如愿将目标iFrame的位置，由www[.]goole.com改成了外部第三方网域。少了对最后一段postmessage网域不一致的检查，研究人员或骇客即可以由此取得受害者Google Docs撷图。

这个手法需要受害者点击“传送回馈”键，似乎不太有效，但研究人员表示，只要在攻击者控制的外部网站的iFrame嵌入一个Google Docs档案，劫持传送回馈的iFrame，就能将内容纳入手中。

回应这名研究人员的通报，Google也颁发了3133.7美元的抓漏奖金。