本次漏洞主要出於 Google 雲端硬碟的「管理版本」功能,允許用戶上傳更新版本的檔案,問題在於 Google 系統不會去檢查後來上傳的文件,甚至連檔案類型不一樣也沒關係,Chrome 更將來自於 Google 雲端的下載檔案預設為可以信任來源,因此也會略過安全檢查,整個流程讓駭客得以輕鬆「調包」你的文件。
在《TheHackerNews》提供的範例影片中,先是上傳一份正常的 PDF 文件,接著透過「管理版本」替換成另一個帶有惡意軟體的文件,前面的檔名皆相同,只是副檔名改成「.exe」,用來騙過使用者,且整個過程 Google 雲端、Chrome 下載機制都不會被發現,一旦透過信箱開啟,設備很快就會遭到入侵。
發現此漏洞的技術人員 A Nikoci 已經正式告知 Google,目前官方尚未修復,也未回應外媒。建議使用者,下載任何檔案前,注意可疑的副檔名,並且謹慎管理分享權限,確定來源是自己信任的友人。
