Apps Script de Google es un lenguaje de programación basado en JavaScript que a menudo se considera una de las opciones más eficientes para el desarrollo de aplicaciones ligeras. Se ha utilizado ampliamente para desarrollar herramientas sencillas para la gestión del trabajo y ha servido como columna vertebral para complementos y extensiones para Documentos, Hojas de cálculo y Presentaciones de Google..
Pero como cualquier otro lenguaje de programación del planeta, la oferta de Google también tiene sus defectos y limitaciones. Sin embargo, una vulnerabilidad descubierta recientemente en el lenguaje de programación Apps Script podría haber permitido a los piratas informáticos dirigirse a los usuarios de la nube mediante la entrega de malware a través de Google Drive, la propia solución de almacenamiento de archivos en línea del gigante de las búsquedas.
La grave vulnerabilidad fue detectado por la empresa de ciberseguridad, Proofpoint, cuyos expertos han señalado que la vulnerabilidad podría haber sido explotado para entregar cualquier forma de malware a los dispositivos del usuario desprevenido. Sin embargo, la buena noticia es que hasta ahora, no se han reportado tales informes de actos malvados cometidos aprovechando la falla.
Con respecto al método de acción del malware y su potencial para infligir daños, el investigador de seguridad de Proofpoint, Maor Bin, dijo:
La investigación de Proofpoint descubrió que Google Apps Script y las capacidades normales para compartir documentos integradas en Google Apps admitían descargas automáticas de malware y sofisticados esquemas de ingeniería social diseñados para convencer a los destinatarios de que ejecuten el malware una vez que se haya descargado. También confirmamos que era posible desencadenar exploits con este tipo de ataque sin la interacción del usuario..
Además, los piratas informáticos podrían haber aprovechado el error mencionado anteriormente para distribuir malware en una escala aún más amenazante que la que habían hecho anteriormente con las macros de Microsoft Office a través de la ruta SaaS (Software As A Service)..
Pero lo que es más preocupante es el hecho de que, a diferencia de los casos anteriores de piratas informáticos que explotaban aplicaciones de Google, que dependían de que los usuarios abrieran un enlace falso de Google Docs, la falla recientemente descubierta podría enviar un enlace legítimo a usuarios desprevenidos hacer el acto sucio.
Proofpoint alertó a Google de sus hallazgos antes de hacer público el informe, y desde entonces la empresa implementó las medidas necesarias para corregir la falla y evitar que se abuse de ella.