Bảng tính trực tuyến Google mắc lỗi nghiêm trọng

Một lỗ hổng nghiêm trọng vừa được phát hiện trong ứng dụng bảng tính trực tuyến Google Spreadsheets, có thể cho phép kẻ tấn công có thể truy cập vào tất cả những dịch vụ Google của người dùng.

Lỗ hổng trên thường được gọi với cái tên lỗ hổng kịch bản liên miền (XSS) và hiện vẫn chưa được Google sửa chữa. XSS cũng là một thực trạng thường hay xảy ra đối với những dịch vụ SaaS (phần mềm hướng dịch vụ) kiểu như Google Spreadsheets.

Theo Billy Rios, một chuyên gia nghiên cứu bảo mật độc lập, do cách thức cấu trúc trình định danh của Google có vấn đề nên chỉ cần một cuộc tấn công XSS là truy cập được tất cả những dịch vụ và tài liệu Google của người dùng.

"Với XSS, tôi có thể đọc được Gmail của bạn, đánh cắp tất cả những tài liệu Google Docs của bạn, và có thể làm bất cứ điều gì trên dịch vụ Google như thể tôi là bạn", cảnh báo của Rios.

Cũng theo Rios, lỗ hổng nằm ở cách thức IE xử lý nội dung đáp ứng của máy chủ và bỏ qua phần header nội dung trong một số tình huống nhất định. Các trình duyệt như Firefox, Opera và Safari cũng có chung hình vi này.

Để thực hiện kiểu tấn công trên, Rios đã thử chèn một thẻ HTML vào ô đầu tiên của Google Spreadsheets cùng với đoạn Javascript được thiết kế để hiển thị cookie của người dùng. Trình duyệt IE sau đó đã xử lý nội dung này dưới dạng một HTML và cho phép có thể xem được cả cookie của người dùng. Rios cho biết cuộc tấn công có thể thực hiện thông qua một đường link dẫn tới một bảng tính được thiết kế đặc biệt.

Có thể trong khoảng 3 tuần tới, Google sẽ kích hoạt một tính năng mới cho phép tất cả người dùng dịch vụ Word trực tuyến của hãng này có thể xem và chỉnh sửa tài liệu offline. Cùng thời gian đó, ứng dụng bảng tính của Google Docs cũng có thể xem offline nhưng lại không thể chỉnh sửa được.

Google Spreadsheets là một phần của gói ứng dụng Google Apps, bao gồm cả Google Docs, Gmail, Calendar, Talk và vài chương trình khác nữa.