구글 문서 해킹

최근 구글은 공격자가 악의적인 웹사이트를 통해 구글 문서를 스크린샷을 탈취하는 것과 관련한 버그를 수정한 것으로 알려졌다.

해당 결함은 보안연구원 Sreeram KL에 의해 지난 7월 9일 최초로 발견되었으며 취약점 발견을 통해 3,133 달러를 상금으로 받았다.

구글 문서를 포함한 많은 구글 제품에는 자동으로 로딩되는 스크린샷을 포함한 옵션과 함께 의견을 보낼 수 있는 “의견 보내기” 또는 “문서 개선 도움말” 옵션이 있다.

이러한 피드백 기능은 구글의 기본 웹사이트(www.google.com)에 배포되고 해당 콘텐츠를 로드하는 iframe을 통해 googleusercontent.com에 통합되는 것으로 알려졌다.

이와 관련하여 보안 연구원 Sreeram은 이러한 메시지가 “feedback.googleusercontent.com”로 전달되는 과정에서 버그를 식별하여 공격자가 프레임을 임의의 외부 웹사이트로 수정하고 구글 문서 스크린샷을 탈취한다고 언급했다.

여기서 특이한 점은 구글 문서 도구에 X-Frame-Options 헤더가 없기 때문에 메시지의 대상 출처를 변경하고 페이지와 그 안에 포함된 프레임 간 통신을 이용할 수 있다는 점이다.

[출처 : TheHackerNews / 12.29.]