Uma falha já corrigida no Google Spreadsheets, a planilha online do Google Apps, permitia o acesso de um crackers a todos os serviços do Google, revelou um pesquisador de segurança nesta quarta-feira (16/04).

A vulnerabilidade viabilizava ataques de cross-site scripting (XSS) e é uma indicação dos riscos que podem acompanhar a grande popularidade do Software como Serviço (SaaS), segundo o pesquisador Billy Rios, que descobriu o problema.

Devido à forma como o Google estrutura seus processos de autenticação, um único ataque XSS pode oferecer acesso a todos os serviços e documentos da empresa, diz Rios. “Só com este XSS, posso fazer tudo que quiser no Google como se fosse você”, explicou o pesquisador em um post.

Os crackers se aproveitam da maneira como o Internet Explorer determina o tipo de conteúdo das respostas de servidores, ignorando o cabeçalho que informa o conteúdo das páginas, em algumas circunstâncias.

Segundo Rios, os navegadores Firefox, Opera e Safari podem ser levados ao mesmo comportamento.

“Os desenvolvedores precisam entender como os browsers lidam com diferentes cabeçalhos de conteúdo ou arriscarão sua aplicação hospedada na web a ataques XSS”, escreveu.

Para consolidar a invasão, Rios injetou um código HTML na primeira cédula de uma tabela, junto com um Javascript voltado a mostrar o cookie do usuário. O IE então renderizou o conteúdo como HTML, permitindo que o cookie fosse visualizado.

Em algumas semanas, o Google permitirá que os usuários visualizem e editem documentos do Google Apps também offline.