Googles Apps Script er et JavaScript-baseret programmeringssprog, der ofte betragtes som en af de mere effektive muligheder for let applikationsudvikling. Det er blevet meget brugt til at udvikle enkle værktøjer til arbejdsstyring og har fungeret som rygraden for tilføjelser og udvidelser til Google Docs, Sheets og Slides.
Men som alle andre programmeringssprog på planeten har Googles tilbud også sine mangler og begrænsninger. Imidlertid kunne en for nylig opdaget sårbarhed i programmeringssproget for Apps Script have tilladt hackere at målret mod skybrugere ved at levere malware via Google Drev, søgegigantens helt egen online filopbevaringsløsning.
Den alvorlige sårbarhed var opdaget af cybersikkerhedsfirmaet Proofpoint, hvis eksperter har påpeget, at sårbarheden kunne have været udnyttet til at levere enhver form for malware til intetanende brugeres enheder. Den gode nyhed er imidlertid, at der indtil videre ikke er rapporteret om sådanne rapporter om onde handlinger begået ved at udnytte fejlen.
Hvad angår malwareens handlingsmetode og dets potentiale til at påføre skade, sagde Proofpoint-sikkerhedsforsker, Maor Bin:
Proofpoint-forskning har fundet ud af, at Google Apps Script og de normale dokumentdelingsfunktioner, der er indbygget i Google Apps, understøttede automatiske malware-downloads og sofistikerede social engineering-ordninger designet til at overbevise modtagere om at udføre malware, når den først er blevet downloadet. Vi bekræftede også, at det var muligt at udløse exploits med denne type angreb uden brugerinteraktion.
Desuden kunne den førnævnte bug have været udnyttet af hackere til at udskille malware i en endnu mere truende skala end de tidligere har gjort med Microsoft Office-makroer gennem SaaS-ruten (Software As A Service)..
Men hvad der er mere bekymrende er det faktum, at i modsætning til tidligere tilfælde af hackere, der udnytter Google-apps, som var afhængige af, at brugere åbnede et falsk Google Docs-link, kunne den nyligt opdagede fejl kunne sende et legitimt link til intetanende brugere at gøre den beskidte gerning.
Proofpoint advarede Google om sine fund inden offentliggørelsen af rapporten, og det har virksomheden siden gjort implementerede nødvendige foranstaltninger for at løse fejlen og forhindre, at det misbruges.