Один из аналитиков сообщил о том, что ему удалось обнаружить три проблемы в
сервисе Google Docs, которые могут привести к компрометации личных данных,
однако в Google утверждают, что обнаруженные недоработки не представляют угрозы
для безопасности.
Первая уязвимость, о которой
сообщил основатель BlueWax Эйд Барка, позволяет просматривать вложенные в
документ изображения даже после смены прав доступа к нему или удаления. По
словам Барки, все что для этого нужно – это правильный URL. Эксперт отмечает,
что данная уязвимость может свидетельствовать о том, что Google не защищает
изображения разграничением прав доступа.
Вторая проблема позволяет пользователям увидеть все версии измененного
изображения. Например, пользователь захотел отредактировать часть изображения и
выложить его в совместный доступ. Другой пользователь может изменить URL
изображения и получить доступ к его предыдущим версиям. В своем сообщении Барка
описывает диаграмму, сохраненную в формат PNG. Если диаграмма меняется, Google
создает новое растровое изображение, сохраняя при этом уникальную ссылку на
старое. Увидеть старую картинку можно если изменить цифровое значение в ведущем
к новому изображению URL.
Детали третьей уязвимости Барка пока не раскрывает. Похоже, она связана с
тем, что люди, ранее имевшие доступ к чьим-то Google Docs, могут продолжать
иметь его даже после изменения прав доступа.
Корпорация Google в курсе описанных выше проблем с 18-го марта, кроме того,
по словам Барки, с прошлый четверг он имел беседу с представителями группы
обеспечения безопасности Google. В своем заявлении Google подчеркивает, что
занимается изучением обнаруженных уязвимостей, однако не считает, что они могут
представлять собой серьезную проблему безопасности Google Docs.
Отметим, что это уже не первый случай обнаружения проблем в системе сервисов
Google на базе облачных вычислений. Ранее в это месяце корпорация признала
наличие уязвимости, из-за которой
некоторые документы могли
стать доступны пользователям, не обладающим достаточным уровнем привилегий.
