Google Drive 漏洞可能允許攻擊者向你提供惡意軟件

威脅參與者可能利用Google Drive中的bug來分發偽裝成合法文檔或圖像的惡意文件。

使得不良行為者進行魚叉式網絡釣魚攻擊的成功率較高。

問題出在Google Drive中實現的“ 管理版本”功能中，該功能允許用戶上載和管理文件的不同版本，并在允許用戶向用戶提供文件新版本的界面中。

“管理版本”功能旨在允許Google Drive用戶使用文件擴展名相同的新文件來更新舊版本的文件，但事實并非如此。

研究人員A. Nikoci發現，在功能上，用戶可以上傳帶有Google Drive中存儲的任何文件擴展名的新版本，從而可以上傳惡意可執行文件。

Nikoci解釋說：“ Google允許您更改文件版本，而無需檢查文件的類型是否相同。” “他們甚至沒有強求相同的延期。”

攻擊者可能利用弱點，使用包含指向Google Drive上托管的惡意文件的鏈接的郵件來進行魚叉式釣魚活動。使用鏈接到流行的云存儲上存儲的文件的方法是威脅參與者執行有效的網絡釣魚活動的一種已知策略。

專家指出，即使反病毒軟件將它們標記為“惡意”軟件并標記為“惡意”軟件，谷歌瀏覽器似乎也暗中信任從Google Drive下載的任何文件。

Google 公開披露幾個小時后，最近解決了一個影響Gmail和G Suite的電子郵件欺騙漏洞。該漏洞是由配置郵件路由時缺少驗證引起的。攻擊者可能利用此問題發送了一封電子郵件，該電子郵件看起來像是另一位Gmail或G Suite用戶發送的，該郵件能夠繞過保護機制，例如發件人策略框架（SPF）和基于域的郵件身份驗證，報告和符合性（DMARC）。