Gadgetshowto
O Apps Script do Google é uma linguagem de programação baseada em JavaScript que geralmente é considerada uma das opções mais eficientes para o desenvolvimento de aplicativos leves. Ele tem sido amplamente usado para desenvolver ferramentas simples de gerenciamento de trabalho e tem servido como base para complementos e extensões para Documentos, Planilhas e Apresentações Google.
Mas, como todas as outras linguagens de programação do planeta, a oferta do Google também tem suas falhas e limitações. No entanto, uma vulnerabilidade recentemente descoberta na linguagem de programação do Apps Script pode ter permitido que os hackers visar os usuários da nuvem, entregando malware por meio do Google Drive, a solução de armazenamento de arquivos online própria do gigante das buscas.
A vulnerabilidade séria era detectado pela empresa de segurança cibernética, Proofpoint, cujos especialistas apontaram que a vulnerabilidade poderia ter sido explorado para fornecer qualquer forma de malware aos dispositivos do usuário desavisado. No entanto, a boa notícia é que, até agora, nenhum relato de atos malignos cometidos com o uso da falha foi relatado.
Com relação ao método de ação do malware e seu potencial de causar danos, o pesquisador de segurança da Proofpoint, Maor Bin, disse:
A pesquisa da Proofpoint descobriu que o Google Apps Script e os recursos normais de compartilhamento de documentos integrados ao Google Apps suportavam downloads automáticos de malware e esquemas sofisticados de engenharia social projetados para convencer os destinatários a executar o malware depois de baixado. Também confirmamos que foi possível acionar exploits com este tipo de ataque sem interação do usuário.
Além disso, o bug supracitado poderia ter sido explorado por hackers para distribuir malware em uma escala ainda mais ameaçadora do que fizeram anteriormente com macros do Microsoft Office através da rota SaaS (Software As A Service).
Mas o que é mais preocupante é o fato de que, ao contrário de instâncias anteriores de hackers que exploravam aplicativos do Google, que dependiam de usuários abrindo um link falso do Google Docs, a falha recentemente descoberta poderia enviar um link legítimo para usuários desavisados para fazer a ação suja.
A Proofpoint alertou o Google sobre suas descobertas antes de tornar o relatório público, e a empresa desde então implementou as medidas necessárias para corrigir a falha e evitar que seja abusado.
