Kako hakeri mogu zaraziti vaš Google nalog trojanskom aplikacijom koju nećete moći da uklonite

Vesti, 24.04.2023, 10:30 AM

Kako hakeri mogu zaraziti vaš Google nalog trojanskom aplikacijom koju nećete moći da uklonite

Google je rešio problem sa ranjivošću Google Cloud Platforme (GCP) koja utiče na sve korisnike i omogućava napadačima da hakuju naloge koristeći aplikaciju instaliranu sa Google Marketplacea ili nekog drugog veb sajta, koju mogu promeniti tako da bude nevidiljive i samim tim neuklonjiva, čime bi Google nalog žrtve bio zauvek zaražen trojanskim aplikacijom.

Ranjivost je nazvana GhostToken, a otkrili su je stručnjaci izraelske firme Astrix Security, koji su je prijavili Googleu 19. juna 2022. godine. Ovaj bag je otklonjen zakrpom koja je objavljena 7. aprila 2023.

Nakon što je aplikacija autorizovana i dobije OAuth token koji joj omogućava pristup Google nalogu, napadač može da iskoristi pomenutu ranjivost i sakrije zlonamernu aplikaciju sa Googleove stranice za upravljanje aplikacijama, jedinog mesta gde Google korisnici mogu da upravljaju aplikacijama povezanim sa njihovim nalozima.

„Pošto je ovo jedino mesto gde korisnici Googlea mogu da vide svoje aplikacije i da im opozovu pristup, eksploatacija čini da se zlonamerna aplikacija ne može ukloniti sa Google naloga“, rekao je Astrix Security. „Napadač sa druge strane, ako želi, može da otkrije aplikaciju i da koristi token da pristupi nalogu žrtve, a zatim brzo ponovo sakrije aplikaciju da bi je vratio u stanje kada se ne može ukloniti.“

Pošto je aplikacija potpuno sakrivena od žrtve, ona ne može znati da je njen nalog u opasnosti, a čak i ako sumnja u to, ne može da uradi ništa osim da kreira potpuno novi nalog.

Da bi sakrili zlonamerne aplikacije koje su autorizovale žrtve, napadači su morali samo da ih nateraju da uđu u stanje „na čekanju za brisanje“ brisanjem povezanog GCP projekta. Međutim, nakon obnavljanja projekta, dobili bi token za osvežavanje koji je omogućio preuzimanje novog tokena za pristup koji bi se mogao koristiti za pristup podacima žrtava.

Ovi koraci bi mogli da se ponavljaju beskonačno, omogućavajući napadačima da izbrišu i vrate GCP projekat kako bi sakrili zlonamernu aplikaciju svaki put kada im je potreban pristup podacima žrtve.

Uticaj napada zavisi od dozvola koje su date zlonamernim aplikacijama koje su instalirale žrtve.

Ranjivost „omogućava napadačima da dobiju trajni i neuklonjivi pristup Google nalogu žrtve konvertovanjem već autorizovane aplikacije treće strane u zlonamernu trojansku aplikaciju, ostavljajući lične podatke žrtve zauvek izloženim“, kažu istraživači.

„Ovo može uključivati podatke sačuvane u Google aplikacijama žrtve, kao što su Gmail, Disk, Dokumenti, Fotografije i Kalendar, ili usluge Google Cloud Platforme (BigQuery, Google Compute, itd.)“. Drugim rečima, napadači će moći da čitaju privatnu prepisku žrtve u Gmailu, da dobiju pristup njenim fajlovima na Google disku, ali i Google fotografijama, da imaju uvid u planirane događaje u Google kalendaru, da prate kretanje žrtve preko Google mapa itd.

U još gorim scenarijima, kada korisnici daju osetljive dozvole, napadači mogu da brišu fajlove sa Google diska, pišu mejlove sa Gmail naloga žrtve da bi izvršili napade društvenog inženjeringa, da ukradu osetljive podatke iz Google kalendara, fotografije ili dokumente i još mnogo toga.

Googleova zakrpa omogućava GCP OAuth aplikacijama u stanju „na čekanju za brisanje“ da se pojave na stranici „Aplikacije koje imaju pristup vašem nalogu“, omogućavajući korisnicima da ih uklone i zaštite svoje naloge od pokušaja otmice.

Astrix savetuje svim korisnicima Googlea da posete stranicu za upravljanje aplikacijama svog naloga i provere sve autorizovane aplikacije trećih strana, i da provere da svaka od njih ima samo dozvole koje su im potrebne za funkcionisanje.

Foto: Brett Jordan / Unsplash


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Sud naložio NSO grupi da preda WhatsAppu kod softvera Pegaz kojim su špijunirani njegovi korisnici

Sud naložio NSO grupi da preda WhatsAppu kod softvera Pegaz kojim su špijunirani njegovi korisnici

Američki savezni sud naložio je izraelskoj kompaniji NSO da preda WhatsAppu izvorni kod za softver za špijunažu Pegaz i druge proizvode kompanije.... Dalje

Hakeri prevarili popularni maloprodajni lanac Pepco, ukradeno 15,5 miliona evra

Hakeri prevarili popularni maloprodajni lanac Pepco, ukradeno 15,5 miliona evra

Evropski diskontni maloprodajni lanac Pepco Group koji posluje u 21 zemlji, prijavio je fišing napad u svom ogranku u Mađarskoj, koji je rezultirao ... Dalje

Malver sakriven u lažnim mejlovima sa sajta Booking.com

Malver sakriven u lažnim mejlovima sa sajta Booking.com

Prevaranti ciljaju korisnike popularnih provajdera usluga u vezi putovanja malverom Agent Tesla, šaljući im mejlove u ime sajtova kao što je Bookin... Dalje

Posle velike policijske akcije, ransomware kartel LockBit je ponovo aktivan, stižu izveštaji o novim žrtvama njihovih napada

Posle velike policijske akcije, ransomware kartel LockBit je ponovo aktivan, stižu izveštaji o novim žrtvama njihovih napada

Nekoliko dana nakon što je globalna policijska akcija desetkovala njihovu infrastrukturu, zloglasna ransomware grupa LockBit se ponovo se pojavila. &... Dalje

Apple uvodi u iMessage novu zaštitu od napada iz budućnosti

Apple uvodi u iMessage novu zaštitu od napada iz budućnosti

Apple je objavio da uvodi u iMessage novi post-kvantni kriptografski protokol pod nazivom PQ3, dizajniran da brani šifrovanje od kvantnih napada. iMe... Dalje