Google은 서비스 전반에 통합된 피드백 도구에 버그를 패치했다. 이 버그는 공격자가 악의적인 웹 사이트에 삽입하여 민감한 Google 문서의 스크린샷을 훔칠 수 있는 것이다.
이 결함은 7월 9일 보안 연구원 Srieram KL에 의해 발견되었는데, 그는 구글의 버그바운티의 일환으로 3133.70달러를 받았다.
Google Docs를 포함한 많은 Google 제품에는 사용자가 특정 문제를 강조하기 위해 자동으로 로드되는 스크린샷을 포함하는 옵션과 함께 피드백을 보낼 수 있는 "피드백 보내기" 또는 "Help Docs 향상" 옵션이 있다.
서비스 전반에 동일한 기능을 복제하는 대신, 피드백 기능은 "feedback.googleusercontent.com"에서 팝업 콘텐츠를 로드하는 iframe 요소를 통해 다른 도메인에 통합된다.
[그림1. Send feedback]
또한 Google Docs 창의 스크린샷이 포함될 때마다 이미지를 렌더링하려면 모든 픽셀의 RGB 값을 상위 도메인(www.google.com)으로 전송해야 한다는 것을 의미하며, 이 RGB 값을 피드백 도메인으로 리디렉션된다. 궁극적으로 이미지를 구성하고 Base64 인코딩 형식으로 다시 전송한다.
그러나, Sreeram은 이 메시지들이 "feedback.googleusercontent.com"으로 전달되는 방식에서 버그를 식별하여 공격자가 프레임을 임의의 외부 웹 사이트로 수정하여 구글의 서버에 업로드될 예정이었던 Google 문서 스크린샷을 훔쳤다.
특히 이 결함은 Google Docs 도메인에 X-Frame-Options 헤더가 부족하여 메시지의 대상 출처를 변경하고 페이지와 그 안에 포함된 프레임 간의 cross-origin communication을 이용할 수 있다.
공격에는 어떤 형태의 사용자 상호 작용(예, "피드백 전송" 버튼 클릭)이 필요하지만, 공격하려면 이러한 약점을 쉽게 활용하여 업로드된 스크린샷의 URL을 캡처하여 악의적인 사이트로 유출할 수 있다.
이것은 악성 웹사이트의 iFrame에 Google Docs 파일을 삽입하고 피드백 팝업 프레임을 가로채서 콘텐츠를 공격자가 선택한 도메인으로 리디렉션함으로써 달성 가능한 공격이다.
cross-origin communication 중에 대상 발신지를 제공하지 못하면 모든 웹 사이트에 전송된 데이터가 공개된다는 점에서 보안 문제가 발생한다.
출처
https://thehackernews.com/2020/12/a-google-docs-bug-could-have-allowed.html
영상
https://youtu.be/isM-BXj4_80
