Компания IceWarp сообщила об обнаружении уязвимости во второй версии API интернет-сервиса Google Translate, которая позволяет потенциальному атакующему получить из клиентского приложения закрытые данные о пользователях. В IceWarp говорят, что обнаружили уязвимость, когда тестировали собственный продукт LiveWebAssist для обмена сообщениями. Этот продукт использует для перевода текстов функции Google Translate. "Система перевода Google Translate - это выдающийся продукт и мы были действительно удивлены, обнаружив в ней уязвимость, которая сравнительно легко позволяет перехватывать пользовательские данные", - говорит Ладислав Гоч, президент IceWarp. По его словам, для перехвата сообщений необходимо создать специальный файл JavaScript, который будет тем или иным образом запущен на компьютере-жертве. Более того в документации по Google Translate API содержится практически законченный пример атаки. "Если кто-либо откроет веб-сайт, применяющий Google Translate API v2, и посмотрит ключ Key, то при помощи этого же уникального ключа хакер на своем компьютере сможет посмотреть какой именно текст переводит конкретный пользователь", - говорит Гоч. В IceWarp говорят, что в своих продуктах такую систему работы они уже устранили и теперь ожидают того же от Google.
Источник