Kako hakeri mogu zaraziti vaš Google nalog trojanskom aplikacijom koju nećete moći da uklonite
Vesti, 24.04.2023, 10:30 AM

Google je rešio problem sa ranjivošću Google Cloud Platforme (GCP) koja utiče na sve korisnike i omogućava napadačima da hakuju naloge koristeći aplikaciju instaliranu sa Google Marketplacea ili nekog drugog veb sajta, koju mogu promeniti tako da bude nevidiljive i samim tim neuklonjiva, čime bi Google nalog žrtve bio zauvek zaražen trojanskim aplikacijom.
Ranjivost je nazvana GhostToken, a otkrili su je stručnjaci izraelske firme Astrix Security, koji su je prijavili Googleu 19. juna 2022. godine. Ovaj bag je otklonjen zakrpom koja je objavljena 7. aprila 2023.
Nakon što je aplikacija autorizovana i dobije OAuth token koji joj omogućava pristup Google nalogu, napadač može da iskoristi pomenutu ranjivost i sakrije zlonamernu aplikaciju sa Googleove stranice za upravljanje aplikacijama, jedinog mesta gde Google korisnici mogu da upravljaju aplikacijama povezanim sa njihovim nalozima.
„Pošto je ovo jedino mesto gde korisnici Googlea mogu da vide svoje aplikacije i da im opozovu pristup, eksploatacija čini da se zlonamerna aplikacija ne može ukloniti sa Google naloga“, rekao je Astrix Security. „Napadač sa druge strane, ako želi, može da otkrije aplikaciju i da koristi token da pristupi nalogu žrtve, a zatim brzo ponovo sakrije aplikaciju da bi je vratio u stanje kada se ne može ukloniti.“
Pošto je aplikacija potpuno sakrivena od žrtve, ona ne može znati da je njen nalog u opasnosti, a čak i ako sumnja u to, ne može da uradi ništa osim da kreira potpuno novi nalog.
Da bi sakrili zlonamerne aplikacije koje su autorizovale žrtve, napadači su morali samo da ih nateraju da uđu u stanje „na čekanju za brisanje“ brisanjem povezanog GCP projekta. Međutim, nakon obnavljanja projekta, dobili bi token za osvežavanje koji je omogućio preuzimanje novog tokena za pristup koji bi se mogao koristiti za pristup podacima žrtava.
Ovi koraci bi mogli da se ponavljaju beskonačno, omogućavajući napadačima da izbrišu i vrate GCP projekat kako bi sakrili zlonamernu aplikaciju svaki put kada im je potreban pristup podacima žrtve.
Uticaj napada zavisi od dozvola koje su date zlonamernim aplikacijama koje su instalirale žrtve.
Ranjivost „omogućava napadačima da dobiju trajni i neuklonjivi pristup Google nalogu žrtve konvertovanjem već autorizovane aplikacije treće strane u zlonamernu trojansku aplikaciju, ostavljajući lične podatke žrtve zauvek izloženim“, kažu istraživači.
„Ovo može uključivati podatke sačuvane u Google aplikacijama žrtve, kao što su Gmail, Disk, Dokumenti, Fotografije i Kalendar, ili usluge Google Cloud Platforme (BigQuery, Google Compute, itd.)“. Drugim rečima, napadači će moći da čitaju privatnu prepisku žrtve u Gmailu, da dobiju pristup njenim fajlovima na Google disku, ali i Google fotografijama, da imaju uvid u planirane događaje u Google kalendaru, da prate kretanje žrtve preko Google mapa itd.
U još gorim scenarijima, kada korisnici daju osetljive dozvole, napadači mogu da brišu fajlove sa Google diska, pišu mejlove sa Gmail naloga žrtve da bi izvršili napade društvenog inženjeringa, da ukradu osetljive podatke iz Google kalendara, fotografije ili dokumente i još mnogo toga.
Googleova zakrpa omogućava GCP OAuth aplikacijama u stanju „na čekanju za brisanje“ da se pojave na stranici „Aplikacije koje imaju pristup vašem nalogu“, omogućavajući korisnicima da ih uklone i zaštite svoje naloge od pokušaja otmice.
Astrix savetuje svim korisnicima Googlea da posete stranicu za upravljanje aplikacijama svog naloga i provere sve autorizovane aplikacije trećih strana, i da provere da svaka od njih ima samo dozvole koje su im potrebne za funkcionisanje.
Foto: Brett Jordan / Unsplash

Izdvojeno
Bluetooth ranjivosti: Hakeri vas mogu prisluškivati preko vaših slušalica

Istraživači iz nemačke kompanije ERNW su na konferenciji o bezbednosti TROOPERS u Nemačkoj otkrili tri ozbiljne ranjivosti u čipovima popularnih ... Dalje
Kad korisnici sami instaliraju malver: dramatičan porast ClickFix napada

U poslednjih šest meseci zabeležen je dramatičan porast nove vrste sajber napada koji se ne oslanja na ranjivosti u softveru, već na ljudske slabo... Dalje
Microsoft najavio produžetak podrške za Windows 10 za godinu dana
.jpg)
Microsoft je konačno potvrdio ono što su mnogi priželjkivali - Windows 10 će i dalje dobijati bezbednosna ažuriranja (Extended Security Updates, ... Dalje
Napadi na WordPress sajtove: novi malver krade kartice i lozinke

Istraživači iz Wordfence-a otkrili su sofisticiranu kampanju usmerenu na WordPress sajtove. Na prvi pogled, lažni dodatak (plugin) nazvan „Wo... Dalje
Mocha Manakin: Novi napad koji počinje jednostavnim copy-paste trikom

U digitalnom svetu gde svaka sumnjiva poruka može otvoriti vrata za kompromitovanje sistema, pojavila se nova sajber pretnja, nazvana Mocha Manakin. ... Dalje
Pratite nas
Nagrade