Kako hakeri mogu zaraziti vaš Google nalog trojanskom aplikacijom koju nećete moći da uklonite
Vesti, 24.04.2023, 10:30 AM
Google je rešio problem sa ranjivošću Google Cloud Platforme (GCP) koja utiče na sve korisnike i omogućava napadačima da hakuju naloge koristeći aplikaciju instaliranu sa Google Marketplacea ili nekog drugog veb sajta, koju mogu promeniti tako da bude nevidiljive i samim tim neuklonjiva, čime bi Google nalog žrtve bio zauvek zaražen trojanskim aplikacijom.
Ranjivost je nazvana GhostToken, a otkrili su je stručnjaci izraelske firme Astrix Security, koji su je prijavili Googleu 19. juna 2022. godine. Ovaj bag je otklonjen zakrpom koja je objavljena 7. aprila 2023.
Nakon što je aplikacija autorizovana i dobije OAuth token koji joj omogućava pristup Google nalogu, napadač može da iskoristi pomenutu ranjivost i sakrije zlonamernu aplikaciju sa Googleove stranice za upravljanje aplikacijama, jedinog mesta gde Google korisnici mogu da upravljaju aplikacijama povezanim sa njihovim nalozima.
„Pošto je ovo jedino mesto gde korisnici Googlea mogu da vide svoje aplikacije i da im opozovu pristup, eksploatacija čini da se zlonamerna aplikacija ne može ukloniti sa Google naloga“, rekao je Astrix Security. „Napadač sa druge strane, ako želi, može da otkrije aplikaciju i da koristi token da pristupi nalogu žrtve, a zatim brzo ponovo sakrije aplikaciju da bi je vratio u stanje kada se ne može ukloniti.“
Pošto je aplikacija potpuno sakrivena od žrtve, ona ne može znati da je njen nalog u opasnosti, a čak i ako sumnja u to, ne može da uradi ništa osim da kreira potpuno novi nalog.
Da bi sakrili zlonamerne aplikacije koje su autorizovale žrtve, napadači su morali samo da ih nateraju da uđu u stanje „na čekanju za brisanje“ brisanjem povezanog GCP projekta. Međutim, nakon obnavljanja projekta, dobili bi token za osvežavanje koji je omogućio preuzimanje novog tokena za pristup koji bi se mogao koristiti za pristup podacima žrtava.
Ovi koraci bi mogli da se ponavljaju beskonačno, omogućavajući napadačima da izbrišu i vrate GCP projekat kako bi sakrili zlonamernu aplikaciju svaki put kada im je potreban pristup podacima žrtve.
Uticaj napada zavisi od dozvola koje su date zlonamernim aplikacijama koje su instalirale žrtve.
Ranjivost „omogućava napadačima da dobiju trajni i neuklonjivi pristup Google nalogu žrtve konvertovanjem već autorizovane aplikacije treće strane u zlonamernu trojansku aplikaciju, ostavljajući lične podatke žrtve zauvek izloženim“, kažu istraživači.
„Ovo može uključivati podatke sačuvane u Google aplikacijama žrtve, kao što su Gmail, Disk, Dokumenti, Fotografije i Kalendar, ili usluge Google Cloud Platforme (BigQuery, Google Compute, itd.)“. Drugim rečima, napadači će moći da čitaju privatnu prepisku žrtve u Gmailu, da dobiju pristup njenim fajlovima na Google disku, ali i Google fotografijama, da imaju uvid u planirane događaje u Google kalendaru, da prate kretanje žrtve preko Google mapa itd.
U još gorim scenarijima, kada korisnici daju osetljive dozvole, napadači mogu da brišu fajlove sa Google diska, pišu mejlove sa Gmail naloga žrtve da bi izvršili napade društvenog inženjeringa, da ukradu osetljive podatke iz Google kalendara, fotografije ili dokumente i još mnogo toga.
Googleova zakrpa omogućava GCP OAuth aplikacijama u stanju „na čekanju za brisanje“ da se pojave na stranici „Aplikacije koje imaju pristup vašem nalogu“, omogućavajući korisnicima da ih uklone i zaštite svoje naloge od pokušaja otmice.
Astrix savetuje svim korisnicima Googlea da posete stranicu za upravljanje aplikacijama svog naloga i provere sve autorizovane aplikacije trećih strana, i da provere da svaka od njih ima samo dozvole koje su im potrebne za funkcionisanje.
Foto: Brett Jordan / Unsplash
Izdvojeno
Uprkos akciji policije, BadBox nastavlja da se širi: malverom zaraženo 192.000 Android uređaja
Android malver BadBox zarazio je više od 192.000 uređaja širom sveta uprkos nedavnoj operaciji policije u Nemačkoj koja je pokušala da zaustavi ... Dalje
Interpol traži da se termin ''pig butchering'' (svinjokolj) ne koristi više za žrtve investicionih i ljubavnih internet prevara
Interpol je pozvao zajednicu sajber bezbednosti, organe za sprovođenje zakona i medije da prestanu da koriste termin „pig butchering“ (sv... Dalje
Milioni korisnika interneta izloženi riziku od lažnih captcha stranica i infekcije malverom Lumma
Istraživači Guardio Labsa i Infobloxa otkrili su kampanju velikih razmera koja distribuira malver Lumma preko lažnih captcha stranica. Napadači is... Dalje
Amnesty International: Srpske vlasti koriste do sada nepoznati špijunski softver NoviSpy
Srpske vlasti su instalirale špijunski softver na telefone desetina predstavnika civilnog društva, aktivista i novinara, navodi se u izveštaju koji... Dalje
Android malver BadBox predinstaliran na desetinama hiljada IoT uređaja
Nemačka Savezna kancelarija za informacionu bezbednost (BSI) je saopštila da je blokirala malver BadBox koji je predinstaliran na više od 30.000 An... Dalje
Pratite nas
Nagrade