ИБ-специалист Михал Бентковски (Michał Bentkowski) из компании Securitum заработал 5000 долларов, выявив XSS-уязвимость, связанную с динамическими сообщениями в Gmail.
Напомню, что функция динамической электронной почты, также известная как Accelerated Mobile Pages (AMP), предназначена для электронной почты или AMP4Email, и позволяет использовать динамический HTML-контент в электронных письмах. Там образом, пользователи могут выполнять различные действия непосредственно из писем, например, отвечать на комментарии в Google Docs, заполнять анкеты, отвечать на приглашения и так далее. Google сделала эту функцию общедоступной в июле текущего года.
Изучая AMP4Email, Бентковски обнаружил возможность проведения XSS-атак. И хотя в AMP4Email существует защита от подобных проблем, исследователь сумел обойти ее при помощи унаследованной функции DOM Clobbering. Эта устаревшая функция, как известно, допускает XSS-атаки, и, используя DOM Clobbering, эксперт продемонстрировал, что злоумышленник может добавить вредоносный код в электронное письмо посредством AMP4Email, и тот будет выполняться на стороне жертвы при открытии сообщения.
Нужно заметить, что эксплуатация уязвимости, продемонстрированная специалистом, не представляла серьезного риска, так как он не сумел обойти защиту Content Security Policy в AMP, которая предназначена именно для предотвращения XSS-атак. Кроме того, эксперт объясняет, что вредоносный код атакующего будет выполняться в песочнице домена AMP, но не в домене Gmail.
Тем не менее, инженеры Google сочли находку Бентковски интересной, назвали уязвимость «обалденной» (awesome) и вознаградили исследователя 5000 долларов США в рамках программы bug bounty.