Malware zneužívá zranitelnosti v Google OAuth a krade přístupy k účtům

Na internetu se objevily informace, které odhalují znepokojivé bezpečnostní riziko, kterým mohou být ohrožení majitelé účtů Google používající internetový prohlížeč Chrome. Malware PRISMA, využívající zero day zranitelnosti ve službě Google OAuth s názvem Multilogin, dokáže obnovit informace obsažené v cookies a to i přes to, že data pro relace přihlášení již vypršela.

Nebezpečný malware může ukrást přihlašovací údaje ke Google účtu

Google používá Gaia Auth API pro ukládání přihlašovacích údajů do souborů coookies pro danou relaci, aby se uživatelé Chrome nemuseli neustále přihlašovat k jeho službám, konkrétně se jedná o službu pro synchronizaci účtu napříč službami Google v prohlížeči Chrome. V takovém případě se uživatel přihlášený do služby Gmail automaticky dostane například i do služby Youtube, nebo přímo do nastavení svého Google účtu. Tato služba ukládá GAIA ID a zašifrované přihlašovací tokeny do souborů cookies a odtud jsou tyto informace dešifrovány v případě, že uživatel přistupuje k nějaké službě.

Útočnici vyvinuli škodlivý exploit, který v případě, že si ho uživatel nějakým neopatrným způsobem nainstaluje do počítače, dokáže obnovit data z cookies již prošlých relací a tato data v podstatě regenerovat pro neoprávněný přístup ke Google účtu oběti a to neomezeně. Výzkumník Paven Karthick ze společnosti CloudSek sdělil, že aby se uživatel mohl proti takovému útoku efektivně bránit, musí se od svého účtu nejprve odhlásit, čímž dojde ke zneplatnění ověřovacích tokenů pro přihlášení a následně provést reset hesla. Bez odhlášení od účtu totiž nedojde ke zneplatnění tokenů a i v případě resetu hesla mají útočníci i nadále k účtu přístup.

Zdroj: CloudSEK

Původní útočníci se snažili vynalezený mechanismus tohoto malware ukrýt před konkurenčními hackery pomocí techniky blackboxingu. Zašifrovali pár GAIA tokenů pomocí šifrovacích klíčů, aby zabránili replikaci jinými útočníky, ale i přes to se jim exploit nepodařilo utajit a dnes jej využívá hned několik skupin z kybernetického podsvětí. Společnost Google o této zranitelnosti ví a pravděpodobně pracuje na opravě, ale zatím nemáme informaci o tom, že by nějakou opravu oficiálně představil což i deklaruje obecné vyjádření společnosti:

„Společnost Google si je vědoma nedávných zpráv o rodině malwaru kradoucího tokeny relací. Útoky zahrnující malware, který krade soubory cookie a tokeny, nejsou novinkou; běžně modernizujeme naše obranné systémy proti takovým technikám a pro zabezpečení uživatelů, kteří se stanou obětí malwaru. V tomto případě společnost Google přijala opatření k zabezpečení všech zjištěných napadených účtů.

Je však důležité upozornit na mylnou představu ve zprávách, která naznačuje, že ukradené tokeny a soubory cookie nelze uživatelem odvolat. To je nesprávné, protože ukradené relace lze zrušit pouhým odhlášením z postiženého prohlížeče nebo vzdáleně odvolat prostřednictvím stránky zařízení uživatele. Situaci budeme nadále sledovat a podle potřeby poskytovat aktualizace.

Do té doby by uživatelé měli průběžně podnikat kroky k odstranění veškerého malwaru z počítače a doporučujeme v prohlížeči Chrome zapnout funkci Vylepšené bezpečné prohlížení, která chrání před phishingem a stahováním malwaru.“

Pokud jste tedy pojali podezření, že jste se stali možnou obětí tohoto malwaru, doporučujeme okamžitě Google účet odhlásit z daného prohlížeče, čímž dojde ke zneplatnění přihlašovacích tokenů a následně provést reset hesla a poté se přihlásit.

Zdroje: androidpolice.com, bleepingcomputer.com, cloudsek.com

Domů » Články » Malware zneužívá zranitelnosti v Google OAuth a krade přístupy k účtům

Jakub Sobotka

Působí v IT a svět IT a mobilních technologií byly vždy jeho vášní. Ve volném čase rád sportuje, čte, nebo se toulá přírodou. Ač uživatel Apple platformy, velmi dobře si rozumí i s Androidem.