Billy Rios znalazł w Google Spreadsheets lukę, która pozwala atakującemu na kradzież "ciasteczek" użytkownika. Dzięki nim cyberprzestępca zyskuje dostęp do wszystkich usług Google'a, z których korzysta ofiara, w tym do Gmaila. Wystarczy, że użytkownik, korzystając z Internet Explorera, kliknie na podsunięty mu link.

Rios wyjaśnia, że luka spowodowany jest błędnymi lub ignorowanym przez przeglądarkę nagłówkami content-type zwracanymi przez serwer. Podkreśla przy tym, że na atak mogą być narażeni też użytkownicy innych przeglądarek. Firefox, Opera i Safari w pewnych warunkach również będą ignorowały content-type.

Rios wykorzystał dziurę wprowadzając do odpowiedzi serwera własne treści HTML. W tym celu najpierw wygenerował tabelę, której pierwsza komórkach zawierała kod HTML oraz JavaScript, który indeksował cookie użytkownika. Google Spreadsheets pozwala na eksportowanie danych do tekstowego formatu CSV, który jest interpretowany przez Internet Explorera jako HTML.

"Dzięki temu jednemu atakowi XSS mogę odczytać czyjąś pocztę z Gmaila, wstawić backdoora do programu nad którym pracuje (code.google.com), ukraść wszystkie dokumenty z Google Docs i wykonywać te same czynności, do których ma prawo właściciel konta" - mówi Rios.

Google załatało lukę i przeglądarka interpretuje teraz wspomniane tabele jako tekst, a nie kod HTML.