Security Analyst detecta tres fallas en Google Docs

Un analista de seguridad dice que descubrió tres errores en Google Docs que podrían exponer datos privados, pero Google dijo que los problemas no representan un riesgo de seguridad.

Google Docs es un paquete de productividad de oficina en línea que permite a los usuarios crear y compartir procesamiento de textos u hojas de cálculo. Es gratis para los consumidores, y Google también ofrece una versión empresarial, Google Apps, con más funciones.

Uno de los defectos permite que las imágenes sean accesibles incluso si se ha eliminado un documento o se han revocado los derechos de uso compartido, escribió Ade Barkah, el fundador de BlueWax, una empresa de consultoría de aplicaciones con sede en Toronto.

[Más información: los mejores servicios de transmisión de TV]

Una persona necesitaría tener la URL correcta para que la imagen acceda a ella, escribió Barkah. El error muestra que Google Docs no protege las imágenes con sus controles de uso compartido, escribió.

"Si compartió un documento que contiene imágenes incrustadas con alguien, esa persona siempre podrá ver esas imágenes", escribió. "Si REPLACEa una imagen en un documento protegido, también esperaría que la imagen esté protegida. El resultado final es una posible fuga de privacidad."

El segundo problema permite a los usuarios ver todas las versiones de una imagen modificada. Por ejemplo, si un usuario deseara redactar parte de una imagen y compartirla, el usuario que tenga acceso a ella podría modificar la URL de esa imagen para ver versiones anteriores.

Barkah escribió que los elementos como los diagramas se rasterizan en una Imagen.PNG. Cuando se modifica el diagrama, Google Docs crea una nueva imagen rasterizada pero conserva las versiones antiguas con una URL única. Al cambiar un número en la URL, se puede ver el diagrama anterior.

Barkah también encontró un tercer problema, pero todavía no está publicando detalles sobre él. Parece que permite a las personas que alguna vez tuvieron acceso a Google Docs de alguien obtener acceso incluso si se han cambiado los derechos de acceso.

Google fue notificado de los problemas el 18 de marzo, y Barkah dijo que estaba en contacto con el equipo de seguridad de Google en Jueves. En un comunicado, Google dijo que están investigando pero que "no creemos que haya importantes problemas de seguridad con Google Docs".

Si es preciso, los descubrimientos de Barkah probablemente alimentarán las llamadas que la compañía necesita para realizar una revisión de seguridad completa de sus aplicaciones basadas en la nube.

La semana pasada, el Centro de Información de Privacidad Electrónica presentó una queja solicitando a la Comisión Federal de Comercio de Estados Unidos que impida a Google ofrecer servicios que recopilan datos hasta que se puedan verificar los controles de privacidad.

reconoció que una falla en Docs hizo que algunos documentos quedaran expuestos a los usuarios sin el permiso correspondiente. El problema ocurrió entre usuarios que habían compartido documentos previamente. La compañía dijo que afectaba menos del 0,05 por ciento de los documentos. Nota del editor: el porcentaje de documentos de Google afectados por el error se corrigió el 28 de marzo de 2008.