许多Google产品,包括GoogleDocs,都有“发送反馈”或“帮助Docs改进”选项,允许用户发送包括屏幕截图在内的反馈以改进产品。反馈功能部署在谷歌主网www.google.com,通过iframe元素集成在其他域名中。iframe元素可以加载来自feedback.googleusercontent.com的弹出窗口内容。假设我们使用GoogleDocs(https://docs.google.com/document)并提交反馈。点击Help-->SendFeedback后,可以看到载入文档的弹窗截图。Iframe(www.google.com)的来源与Google文档(docs.google.com)不同,因此需要跨域通信才能成功提交屏幕截图。实际上,Googledocs通过postmessage将每个像素的RGB值发送到www.google.com,然后通过postmessage将这些RGB值重定向到它的iframefeedback.googleusercontent.com,然后根据像素的RGB值渲染图像,并发送base64编码的数据URI返回到主iframe。该过程完成后,编写反馈说明并单击将说明和图像发送到https://www.google.com。研究员Sreeram在向feedback.googleusercontent.com发送消息的过程中发现了一个安全漏洞。攻击者可以利用该漏洞对外部网站进行无框修改,从而盗取并劫持GoogleDocs截图上传至Google服务。.漏洞产生的原因是GoogleDocs域名缺少X-Frame-Options头,因此可以通过修改消息的目标来源,利用页面和框架之间的跨域通信来实现攻击。这种攻击需要用户交互,比如点击“发送反馈”按钮,漏洞利用程序可以获得屏幕截图上传并窃取并发送到恶意网站。攻击者只需将GoogleDocs文件嵌入到假冒/恶意网站的iframe中,即可劫持反馈弹出窗口,将内容重定向到攻击者控制的域。POC视频见:https://www.youtube.com/embed/isM-BXj4_80更多技术细节见:https://blog.geekycat.in/google-vrp-hijacking-your-screenshots/本文为翻译自:https://thehackernews.com/2020/12/a-google-docs-bug-could-have-allowed.html
