Google Drive 出現漏洞,用戶的檔案隨時被偷換成惡意軟件。
據 TheHackerNews 的報導指出,一個位於 Google Drive 「管理版本」功能內的漏洞,被惡意軟體利用,它能偽裝成已上載的文件或圖片,趁使用者不注意時進行網路釣魚攻擊。
Google Drive 管理版本允許用戶上載、管理不同版本的文件。一般而言,管理版本功能應要檢查相同檔名但不同副檔名的文件。而這次發現其並無對之後上載的檔案作出檢查,且會將所有下載檔案預設為信任來源,因此略過了基本安全檢查。
因此有心人 / 攻擊者能以帶有惡意軟件的檔案上載到使用者 Drive 上,而若使用者沒有注意到檔案被更換的話,就有機會被惡意軟件入侵。
這項漏洞是由系統管理人員 A. Nikoci 發現,他在影片上演示,在用戶群組中共享的合法軟件版本將可被惡意文件所替代。而且在線預覽時並不會提示任何新變化或發出任何警告。他表示 Google 在沒有檢查是否是同一類型的檔案下,就允許用戶更改文件版本,甚至並未強制要求具有同一副檔名。
他已向 Google 官方提出了漏洞報告,不過這項漏洞目前尚未被修復。因此,使用者在每次下載檔案前,就要先注意檔案的副檔名是否為自己原本上載的檔案,以防自己的設備被惡意軟件所入侵。
