感谢www.ugoes.cn的投递
新闻来源:腾讯科技
业内某安全分析师日前表示,他在Google Docs中发现了3个安全漏洞,可能会导致用户数据受到攻击,但是谷歌回应称这些问题并不存在安全隐患.Google Docs是一款在线办公软件套装,用户可以利用它来创建和共享文字处理和电子表格文档.除了免费的消费者版本之外,谷歌还推出了一款功能更加丰富的企业版产品Google Apps.

据多伦多企业应用顾问公司BlueWax的创始人Ade Barkah表示,其中有一个漏洞与图片有关,即便某文档已经被删除或取消了共享权限,但是文档中插入的图片仍可以被他人访问.

Barkah称,只要知道正确的文档图片网址,就可以访问它.这个漏洞表明,Google Docs的共享控制机制并不保护文档中插入的图片.

他说:“如果你把某个包含内插图片的文档与其他人共享,那么其他人就能够永远看到那些图片.如果你在一个受保护的文档中插入图片,你肯定希望图片也能受到保护. 但是结果却不是这样,这可能会导致用户的机密资料外泄.”

第二个问题也跟图片有关,即便一张图片经过多次修改,用户仍然可以看到修改过程中生成的所有版本的图片.例如,如果某用户把一张图片的某个部分修改过后发送给其他人,接到图片的人只要修改一下图片的网址就可以看到之前所有版本的图片了.

Barkah表示,象图表类的项目都被转换成了.PNG图片.图表被修改之后,Google Docs会生成一张新的图片,而修改过程中生成的所有旧版本图片都有各自的独立网址,并且全部被保存下来. 只要改动网址中的几个数字,其他人就可以看到旧版本的图表.

Barkah还发现了另一个问题,但是到目前为止还没有公开相关的详细情况.那个问题造成的结果是,只要用户曾经共享过某个文档,那么即便后来将文档访问权进行修改,其他人仍然可以访问那个文档.

Barkah表示,他已于3月18日将这三个问题上报给谷歌,谷歌的安全团队在周四与他取得了联系. 谷歌发表了一份声明称自己已经展开调查,但是它并不认为Google Docs存在重大的安全隐患.

如果Barkah发现的问题属实,那么谷歌很可能必须对其基于云的各种应用服务进行一次彻底的安全评估.

电子机密信息中心(Electronic Privacy Information Center)上周向美国联邦贸易委员会提出申诉,要求委员会禁止谷歌继续提供那些收集数据的服务,直到那些服务的保密控制可以得到检验.

在本月早些时候,谷歌承认Docs中存在的一个小问题会导致某些文档被没有访问权限的用户打开. 谷歌同时表示,受到那个问题影响的文档数量还不到文档总量的0.5％.