Аккаунты Google были атакованы и взломаны с помощью бреши в системе безопасности

Облачная платформа Google (GCP) была подвержена уязвимости нулевого дня, которая позволяла злоумышленникам получать доступ к учетным записям людей и всем найденным там данным (Gmail, Диск, Документы, Фотографии и т. д.), говорят исследователи.

Аккаунты Google были атакованы и взломаны с помощью бреши в системе безопасности. Фото: СС0

Эксперты Astrix Security обнаружили, что злоумышленник может создать вредоносное приложение Google Cloud Platform и рекламировать его либо через Google Marketplace, либо через сторонних поставщиков.

Если пользователь устанавливает приложение, авторизует его и связывает с токеном OAuth, он дает злоумышленникам доступ к своей учетной записи Google.

Затем злоумышленники могут сделать приложение невидимым и скрыть его со страницы управления приложениями Google, что сделает невозможным устранение уязвимости жертвами. Метод «скрытия» приложения представляет собой ориинальный метод атаки. Удалив связанный проект GCP, злоумышленники заставят приложение перейти в состояние «ожидает удаления» и, таким образом, сделают его невидимым на странице управления приложением.

Из сообщения исследователей:

«Поскольку это единственное место, где пользователи Google могут видеть свои приложения и отзывать доступ к ним, эксплойт делает невозможным удаление вредоносного приложения из учетной записи Google».

Затем, когда злоумышленники сочтут нужным, они смогут восстановить проект, получить свежий токен и получить данные из учетной записи жертвы. Более того - они могли бы делать это бесконечно.

Из сообщения исследователей безопасности:

«Злоумышленник, с другой стороны, по своему усмотрению может показать свое приложение и использовать токен для доступа к учетной записи жертвы, а затем быстро снова скрыть приложение, чтобы восстановить его неудаляемое состояние».

Команда Astrix назвала недостаток — GhostToken.

Важно отметить, что влияние уязвимости сильно зависит от разрешений, которые жертвы предоставляют вредоносным приложениям.

Уязвимость была обнаружена летом 2022 года и устранена в апреле этого года. Теперь приложения GCP OAuth, ожидающие удаления, по-прежнему отображаются на странице «Приложения с доступом к вашей учетной записи».

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

Упомянутые сервисы

Gmail Бесплатная электронная почта от Google. Предлагает доступ к ящикам через веб-интерфейс и протоколы POP3, SMTP и IMAP. Из неё можно получить доступ ко всем сервисам Google.

Бесплатная электронная почта от Google. Предлагает доступ к ящикам через веб-интерфейс и протоколы POP3, SMTP и IMAP. Из неё можно получить доступ ко всем сервисам Google.