Google Drive 漏洞可能允许攻击者向你提供恶意软件

威胁参与者可能利用Google Drive中的bug来分发伪装成合法文档或图像的恶意文件。

使得不良行为者进行鱼叉式网络钓鱼攻击的成功率较高。

问题出在Google Drive中实现的“ 管理版本”功能中，该功能允许用户上载和管理文件的不同版本，并在允许用户向用户提供文件新版本的界面中。

“管理版本”功能旨在允许Google Drive用户使用文件扩展名相同的新文件来更新旧版本的文件，但事实并非如此。

研究人员A. Nikoci发现，在功能上，用户可以上传带有Google Drive中存储的任何文件扩展名的新版本，从而可以上传恶意可执行文件。

Nikoci解释说：“ Google允许您更改文件版本，而无需检查文件的类型是否相同。” “他们甚至没有强求相同的延期。”

攻击者可能利用弱点，使用包含指向Google Drive上托管的恶意文件的链接的邮件来进行鱼叉式钓鱼活动。使用链接到流行的云存储上存储的文件的方法是威胁参与者执行有效的网络钓鱼活动的一种已知策略。

专家指出，即使反病毒软件将它们标记为“恶意”软件并标记为“恶意”软件，谷歌浏览器似乎也暗中信任从Google Drive下载的任何文件。

Google 公开披露几个小时后，最近解决了一个影响Gmail和G Suite的电子邮件欺骗漏洞。该漏洞是由配置邮件路由时缺少验证引起的。攻击者可能利用此问题发送了一封电子邮件，该电子邮件看起来像是另一位Gmail或G Suite用户发送的，该邮件能够绕过保护机制，例如发件人策略框架（SPF）和基于域的邮件身份验证，报告和符合性（DMARC）。