ربما سمحت ثغرة أمنية في Cloud Platform (GCP) من Google للمهاجمين الإلكترونيين بإخفاء تطبيق ضار غير قابل للإزالة داخل حساب Google للضحية ، مما يؤدي بالحساب إلى حالة إصابة دائمة غير قابلة للكشف.
تم اكتشاف الخطأ ، المسمى "GhostToken" ، والإبلاغ عنه بواسطة باحثو Astrix Security. وفقًا لتحليل أصدره الفريق في 20 أبريل ، كان من الممكن أن يمهد التطبيق الضار الطريق لمجموعة مذهلة من الأنشطة الشائنة ، بما في ذلك قراءة حساب Gmail للضحية ، والوصول إلى الملفات في Google Drive وصور Google ، وعرض تقويم Google ، و تتبع المواقع عبر خرائط جوجل.
مسلحين بهذه المعلومات ، يمكن للمهاجمين شن هجمات انتحال شخصية وهجمات تصيد مقنعة للغاية ، أو حتى وضع الشخص في خطر جسدي.
"في الحالات الأسوأ ... قد يتمكن المهاجمون من حذف الملفات من Google Drive ، وكتابة رسائل البريد الإلكتروني من حساب Gmail للضحية لتنفيذ هجمات الهندسة الاجتماعية ، و [استخراج] البيانات الحساسة من تقويم Google ، أو الصور ، أو المستندات ، وغير ذلك" كتب الباحثون في النشر.
أحد التطبيقات التي "أشباح" الضحية
• نظام التشغيل السحابي من غوغل تم تصميمه لاستضافة أي من آلاف التطبيقات للمستخدمين النهائيين ، والتي لديها ، مثل الأنظمة البيئية الأخرى للتطبيقات ، متجرًا رسميًا حيث يمكن تنزيلها بسهولة - في هذه الحالة ، Google Marketplace - جنبًا إلى جنب مع أسواق الجهات الخارجية. بمجرد أن يأذن المستخدم بالتنزيل ، يتلقى التطبيق رمزًا مميزًا في الخلفية ، يمنح حق الوصول إلى حساب Google المثبت بناءً على الأذونات التي يطلبها التطبيق.
باستخدام ثغرة GhostToken ، يمكن للمهاجمين الإلكترونيين تصميم تطبيق ضار يمكنهم زرعه في أحد متاجر التطبيقات ، متنكراً كأداة مساعدة أو خدمة شرعية. ولكن بمجرد التنزيل ، سيخفي التطبيق نفسه من صفحة إدارة تطبيق حساب Google الخاص بالضحية.
بالنسبة للمستخدم ، يختفي بشكل أساسي.
وفقًا للتحليل ، "نظرًا لأن هذا هو المكان الوحيد الذي يمكن لمستخدمي Google رؤية تطبيقاتهم وإلغاء وصولهم إليه ، فإن الاستغلال يجعل التطبيق الضار غير قابل للإزالة من حساب Google". "من ناحية أخرى ، يمكن للمهاجم ، كما يحلو له ، إظهار تطبيقه واستخدام الرمز المميز للوصول إلى حساب الضحية ، ثم إخفاء التطبيق بسرعة مرة أخرى لاستعادة حالته غير القابلة للإزالة. بعبارة أخرى ، المهاجم يحمل رمز "شبح" لحساب الضحية ".
يقول Idan Gour ، الباحث في Astrix ، إن الخلل قد يكون له عواقب بعيدة المدى لكل من الشركات والأفراد ، وأنه بمثابة دعوة للاستيقاظ لتذكر مدى وصول التطبيقات السحابية إلى حياتنا ، والخطر الذي - التي يمكن أن يكون لتكنولوجيا المعلومات الظل للمؤسسات.
يقول: "سمحت هذه الثغرة الأمنية المحددة للمهاجمين الإلكترونيين من جانب بالوصول إلى بيئات GCP التنظيمية ، ولكن على الجانب الآخر ، إلى صور Google الشخصية للناس وحسابات بريدهم الإلكتروني". "يجدر بنا أن نتذكر أن هذه الخدمات المختلفة التي نستخدمها يوميًا لكل شيء معرضة في الواقع لهذه الأنواع [من] التحديات ، والأمر كله يتعلق بكيفية استخدامنا لها ، وعلى الجانب الآخر ، كيف نقوم بتأمينها."
تعقب فانتوم
قال الباحثون إنه في حين أن التفاصيل شحيحة ، نشأت المشكلة الفنية عمومًا من الطريقة التي تعالج بها Google عملاء OAuth عند إيقاف تشغيلهم. طرف ثالث عملاء OAuth غالبًا ما يتم دمجها في التطبيقات للسماح لهم بتسجيل الدخول بسهولة أكبر من خلال الاستفادة من المصادقة الحالية مع مستخدمين آخرين موثوق بهم. مثال شائع هو "تسجيل الدخول باستخدام Facebook" الذي تقدمه العديد من مواقع الويب.
بقدر ما يمكن استغلاله ، يبدأ الأمر بحقيقة أن كل تطبيق يتم تقديمه لمستخدمي Google في Google Marketplace (أو مواقع الويب الأخرى) مرتبط "بمشروع" GCP واحد يستضيفه. إذا قام مالك مشروع Google Cloud Platform (عادةً ما يكون المطور) بحذفه ، فإنه يُدخل ما يشير إليه Astrix على أنه "حالة حذف معلقة مثل النسيان" ، و "يظل على هذا النحو لمدة 30 يومًا حتى يتم إزالته وحذفه بالكامل".
يمكن استعادة مشاريع الحذف المعلقة هذه بالكامل حسب رغبة المالك من صفحة مخصصة لهذا الغرض. ومع ذلك ، بالنسبة إلى المستخدمين النهائيين ، يختفي التطبيق على الفور من صفحة إدارة "التطبيقات التي لها حق الوصول إلى حسابك".
وهكذا ، فإن سيناريو الهجوم يسير على النحو التالي:
- تصرح الضحية تطبيق OAuth يبدو شرعيًا (ولكنه شرير في الواقع). في الخلفية ، يتلقى المهاجم رمزًا مميزًا لحساب الضحية على Google.
- يحذف المهاجمون المشروع المرتبط بتطبيق OAuth المعتمد ، والذي يدخل في حالة حذف معلق - يصبح التطبيق مخفيًا وغير قابل للإزالة من منظور الضحية.
- عندما يرغب المهاجمون في الوصول إلى بيانات الضحية ، فإنهم يستعيدون المشروع ، ويحصلون على رمز وصول جديد ، ويستخدمونه للوصول إلى بيانات الضحية.
- ثم يقوم المهاجمون على الفور بإعادة إخفاء التطبيق عن الضحية.
- للحفاظ على الثبات ، يجب تنفيذ حلقة الهجوم بشكل دوري قبل إزالة مشروع الحذف المعلق.
أوضح الباحثون أنه "أثناء الخطوة 2 من حلقة الهجوم ، يظهر الوصول مرة أخرى في صفحة" التطبيقات التي لها حق الوصول إلى حسابك "، مما يعني أن الضحية قد تزيل وصول التطبيق تقنيًا في هذه النافذة الزمنية". "ومع ذلك ، فهو إطار زمني محدود للغاية والذي يستمر حتى يقوم المهاجم بتنفيذ الخطوة 1 من حلقة الهجوم مرة أخرى."
المعركة الأبدية لقابلية الاستخدام والأمن
يلاحظ جور أن الثغرة كانت غير عادية لأنها تتعلق بميزة أساسية كانت ، ظاهريًا ، تتصرف كما ينبغي: منح المطورين المرونة بدون تعثر المستخدمين النهائيين بملاحظات على التطبيقات التي لم يعد بإمكانهم استخدامها.
ويوضح قائلاً: "عادةً عندما نتحدث عن نقاط الضعف ، فهذه أشياء معطلة يمكنك فقط تصحيحها والمتابعة". "ولكن في هذه الحالة ، كانت في الواقع ميزة أساسية لبرنامج" شركاء Google المعتمدون "وكيفية إنشاء المشاريع في برنامج" شركاء Google المعتمدون ". من الجيد حقًا أن تكون قادرًا على العودة إلى الأشياء التي فعلتها في الماضي ، والتي لم تقصد محوها. ولكن من ناحية أخرى ، مع القليل من الإبداع ، والنهج المباشر للغاية ، يمكن تحويله إلى شيء يمكن أن يكسر تمامًا الطريقة التي تتم بها إدارة الهوية والوصول من قبل طرف ثالث خارجي تم دمجه في هذه البيئة ( OAuth). "
وبالفعل ، فإن الخطأ يتحدث عن الدفع المستمر بين سهولة الاستخدام والأمان الذي يتم الشعور به في جميع أجزاء بيئة المؤسسة ، يلاحظ جور.
"الآثار المترتبة على سحابة الأمن، خاصةً لأنها تمس المؤسسات والمعلومات الخاصة للعديد من الأشخاص في الوقت الحاضر ، فهل هذا نعم ، في بعض الأحيان يعيق الإنتاجية أو التنقل الشخصي ، وهل هذا ما نريده؟ " هو يقول. "عليك التفكير في هذه الأشياء من مرحلة التصميم وتقييم الميزات لتحقيق التوازن بين القيمة للمستخدم والأمان. إنه أسهل بكثير ، كثيرًا ، كثيرًا ، قبل أن يتم تنفيذ كل شيء ويستخدمه مئات أو آلاف الأشخاص ".
شبح لا أكثر: التخفيف والتصحيح
في وقت سابق من هذا الشهر ، أطلقت Google تصحيحًا عالميًا ، لإصلاح المشكلة عن طريق التأكد من أن التطبيقات في حالة الحذف المعلقة لا تزال مرئية في شاشة إدارة التطبيقات الخاصة بالمستخدم. ومع ذلك ، حذر باحثو Astrix من أنه على الرغم من عدم علمهم بالاستغلال النشط ، يجب على مسؤولي Google Workspace البحث عن التطبيقات التي ربما هاجمت المستخدمين قبل بدء التصحيح في 7 أبريل.
قال الباحثون إن هذا يمكن القيام به بطريقتين:
- البحث عن التطبيقات التي يكون معرف العميل الخاص بها هو نفسه حقل "نص العرض" وإزالة وصولها إذا ثبت أنها ضارة ؛
- أو فحص أحداث سجل OAuth في ميزة "التدقيق والتحقيق" في Google Workspace بحثًا عن نشاط الرمز لأي من هذه التطبيقات.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- سك المستقبل مع أدرين أشلي. الوصول هنا.
- المصدر https://www.darkreading.com/remote-workforce/-ghosttoken-opens-google-accounts-to-permanent-infection
- :يكون
- 1
- 20
- 7
- a
- ماهرون
- من نحن
- الوصول
- الوصول
- وفقا
- حسابي
- الحسابات
- نشط
- نشاط
- في الواقع
- الإداريين
- الكل
- على طول
- an
- تحليل
- و
- أي وقت
- التطبيق
- تطبيق
- التطبيقات
- نهج
- التطبيقات
- ابريل
- هي
- مجموعة
- AS
- أسوشيتد
- At
- مهاجمة
- الهجمات
- التدقيق
- التحقّق من المُستخدم
- خلفية
- الرصيد
- على أساس
- في الأساس
- معركة
- BE
- لان
- يصبح
- قبل
- ما بين
- قطعة
- على حد سواء
- استراحة
- مكسورة
- علة
- بنيت
- الأعمال
- by
- التقويم السنوي
- دعوة
- CAN
- حقيبة
- الحالات
- التحديات
- زبون
- عميل
- سحابة
- منصة سحابة
- مشترك
- تماما
- النتائج
- استمر
- جوهر
- استطاع
- حرفة
- خلق
- الإبداع
- DANGER
- البيانات
- يوم
- أيام
- مخصصة
- تصميم
- تفاصيل
- المطور
- المطورين
- فعل
- مختلف
- اكتشف
- إلى أسفل
- بإمكانك تحميله
- قيادة
- يطلق عليها اسم
- أثناء
- أسهل
- بسهولة
- النظم البيئية
- البريد الإلكتروني
- رسائل البريد الإلكتروني
- الهندسة
- مشروع
- يدخل
- البيئة
- البيئات
- خاصة
- تقييم
- حتى
- أحداث
- كل
- كل يوم
- كل شىء
- مثال
- ينفذ
- القائمة
- شرح
- ويوضح
- استغلال
- استغلال
- استغلال
- خارجي
- جدا
- فيسبوك
- بعيد المدى
- الميزات
- المميزات
- حقل
- ملفات
- عيب
- مرونة
- في حالة
- FRAME
- تبدأ من
- تماما
- على العموم
- دولار فقط واحصل على خصم XNUMX% على جميع
- شبح
- إعطاء
- العالمية
- يذهب
- شراء مراجعات جوجل
- خرائط جوجل
- منح
- يد
- يملك
- he
- مخفي
- إخفاء
- يحمل
- مضيف
- المضيفين
- كيفية
- لكن
- HTTPS
- مئات
- ID
- هوية
- فورا
- نفذت
- آثار
- in
- في أخرى
- بما فيه
- الأفراد
- معلومات
- المتكاملة
- إلى
- تحقيق
- قضية
- IT
- انها
- نفسها
- JPG
- مثل
- محدود
- القليل
- حياة
- المواقع
- يعد
- بحث
- صنع
- المحافظة
- يصنع
- القيام ب
- إدارة
- كثير
- كثير من الناس
- برنامج Maps
- السوق
- الأسواق
- مايو..
- يعني
- تخفيف
- التنقل
- شهر
- الأكثر من ذلك
- جديد
- وصول جديد
- عادة
- ملاحظة
- أوث
- of
- عرضت
- رسمي
- on
- ONE
- جارية
- فقط
- يفتح
- or
- التنظيمية
- المنظمات
- أخرى
- لنا
- كاتوا ديلز
- صفحة
- أجزاء
- حفلة
- الماضي
- بقعة
- ريثما
- مجتمع
- نفذ
- دائم
- أذونات
- إصرار
- شخص
- الشخصية
- منظور
- مرحلة جديدة
- التصيد
- هجمات التصيد
- الصور
- مادي
- المكان
- المنصة
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- من فضلك
- خاص
- معلومات خاصة
- العمليات
- إنتاجية
- تنفيذ المشاريع
- مشروع ناجح
- إثبات
- غرض
- بسرعة
- RE
- نادي القراءة
- واقع
- يتلقى
- يشير
- ذات صلة
- صدر
- تذكر
- تذكر
- إزالة
- إزالة
- وذكرت
- الباحث
- الباحثين
- العودة
- توالت
- s
- قال
- نفسه
- يقول
- سيناريو
- شاشة
- تأمين
- أمن
- الثغرة الأمنية
- حساس
- يخدم
- الخدمة
- خدماتنا
- ينبغي
- جانب
- منذ
- عزباء
- So
- منصات التواصل
- هندسة اجتماعية
- شيء
- يتحدث
- محدد
- يبدأ
- الولايه او المحافظه
- خطوة
- لا يزال
- متجر
- فروعنا
- صريح
- هذه
- حديث
- فريق
- تقني
- أن
- •
- من مشاركة
- منهم
- تشبه
- الأشياء
- تفكير
- الثالث
- طرف ثالث
- الآلاف
- الوقت
- إلى
- رمز
- تتبع الشحنة
- افضل
- تحول
- قابليتها للاستخدام
- تستخدم
- مستخدم
- المستخدمين
- عادة
- سهل حياتك
- قيمنا
- بواسطة
- ضحية
- مرئي
- نقاط الضعف
- الضعف
- وكان
- طريق..
- طرق
- we
- المواقع
- ابحث عن
- التي
- في حين
- سوف
- مع
- في غضون
- بدون
- كلمات
- قيمة
- اكتب
- أنت
- حل متجر العقارات الشامل الخاص بك في جورجيا
- زفيرنت