Gadgetshowto
Google Apps Script est un langage de programmation basé sur JavaScript qui est souvent considéré comme l'une des options les plus efficaces pour le développement d'applications légères. Il a été largement utilisé pour développer des outils simples de gestion du travail et a servi de colonne vertébrale pour les modules complémentaires et les extensions pour Google Docs, Sheets et Slides..
Mais comme tous les autres langages de programmation de la planète, l'offre de Google a également ses défauts et ses limites. Cependant, une vulnérabilité récemment découverte dans le langage de programmation Apps Script aurait pu permettre à des pirates ciblez les utilisateurs du cloud en diffusant des logiciels malveillants via Google Drive, la propre solution de stockage de fichiers en ligne du géant de la recherche.
La grave vulnérabilité était repéré par la société de cybersécurité, Proofpoint, dont les experts ont souligné que la vulnérabilité aurait pu être exploité pour diffuser toute forme de malware aux appareils des utilisateurs sans méfiance. Cependant, la bonne nouvelle est que jusqu'à présent, aucun rapport de ce type d'actes pervers commis en exploitant la faille n'a été signalé..
En ce qui concerne la méthode d'action du malware et son potentiel à infliger des dommages, Maor Bin, chercheur en sécurité chez Proofpoint, a déclaré:
Les recherches de Proofpoint ont révélé que Google Apps Script et les capacités normales de partage de documents intégrées à Google Apps prenaient en charge les téléchargements automatiques de logiciels malveillants et des schémas d'ingénierie sociale sophistiqués conçus pour convaincre les destinataires d'exécuter le logiciel malveillant une fois qu'il a été téléchargé. Nous avons également confirmé qu'il était possible de déclencher des exploits avec ce type d'attaque sans intervention de l'utilisateur.
De plus, le bogue susmentionné aurait pu être exploité par des pirates pour diffuser des logiciels malveillants à une échelle encore plus menaçante qu'ils ne l'ont fait auparavant avec les macros Microsoft Office via la route SaaS (Software As A Service)..
Mais ce qui est plus inquiétant, c'est le fait que contrairement aux instances passées de pirates informatiques exploitant des applications Google, qui dépendaient de l'ouverture d'un faux lien Google Docs par les utilisateurs, la faille récemment découverte pourrait envoyer un lien légitime à des utilisateurs sans méfiance faire le sale acte.
Proofpoint a alerté Google de ses découvertes avant de rendre le rapport public, et la société a depuis mis en œuvre les mesures nécessaires pour corriger la faille et l'empêcher d'être abusé.
