Gadgetshowto
Google Apps Script è un linguaggio di programmazione basato su JavaScript, spesso considerato una delle opzioni più efficienti per lo sviluppo di applicazioni leggere. È stato ampiamente utilizzato per sviluppare semplici strumenti per la gestione del lavoro ed è servito da spina dorsale per componenti aggiuntivi ed estensioni per Documenti, Fogli e Presentazioni Google.
Ma come ogni altro linguaggio di programmazione del pianeta, anche l'offerta di Google ha i suoi difetti e limiti. Tuttavia, una vulnerabilità scoperta di recente nel linguaggio di programmazione Apps Script avrebbe potuto consentire agli hacker di farlo indirizzare gli utenti cloud fornendo malware tramite Google Drive, la soluzione di archiviazione di file online del gigante della ricerca.
La grave vulnerabilità era individuato dalla società di sicurezza informatica, Proofpoint, i cui esperti hanno sottolineato che la vulnerabilità avrebbe potuto essere sfruttato per fornire qualsiasi forma di malware agli ignari dispositivi dell'utente. Tuttavia, la buona notizia è che finora non sono state riportate tali segnalazioni di atti malvagi commessi sfruttando il difetto.
Per quanto riguarda il metodo di azione del malware e il suo potenziale di infliggere danni, il ricercatore di sicurezza di Proofpoint, Maor Bin, ha dichiarato:
La ricerca di Proofpoint ha rilevato che Google Apps Script e le normali funzionalità di condivisione dei documenti integrate in Google Apps supportano download automatici di malware e sofisticati schemi di ingegneria sociale progettati per convincere i destinatari a eseguire il malware una volta scaricato. Abbiamo anche confermato che era possibile attivare exploit con questo tipo di attacco senza l'interazione dell'utente.
Inoltre, il suddetto bug potrebbe essere stato sfruttato dagli hacker per diffondere malware su una scala ancora più minacciosa di quanto non abbiano fatto in precedenza con le macro di Microsoft Office attraverso la rotta SaaS (Software As A Service).
Ma ciò che è più preoccupante è il fatto che, a differenza delle precedenti istanze di hacker che sfruttano le app di Google, che dipendeva dall'apertura di un falso collegamento a Google Documenti da parte degli utenti, il difetto scoperto di recente potrebbe inviare un collegamento legittimo a utenti ignari fare l'atto sporco.
Proofpoint ha avvisato Google dei suoi risultati prima di rendere pubblico il rapporto, e da allora la società lo ha fatto ha implementato le misure necessarie per correggere il difetto e impedirne l'abuso.
