פגיעות אבטחה בפלטפורמת הענן של גוגל (GCP) עלולה לאפשר לתוקפי סייבר להסתיר אפליקציה בלתי ניתנת להסרה וזדונית בתוך חשבון Google של הקורבן, ולגבוע את החשבון למצב של זיהום קבוע ובלתי ניתן לזיהוי.
הבאג, שזכה לכינוי "GhostToken", התגלה ודווח על ידי חוקרי Astrix Security. על פי ניתוח שפורסם על ידי הצוות ב-20 באפריל, האפליקציה הזדונית הייתה יכולה לסלול את הדרך למגוון מדהים של פעילות מרושעת, כולל קריאת חשבון הג'ימייל של הקורבן, גישה לקבצים ב-Google Drive ו-Google Photos, צפייה ביומן של גוגל, וכן מעקב אחר מיקומים באמצעות מפות גוגל.
חמושים במידע זה, התוקפים יכולים ליצור התחזות והתקפות דיוג משכנעות ביותר, או אפילו להעמיד את האדם בסכנה פיזית.
"במקרים גרועים עוד יותר... ייתכן שתוקפים יוכלו למחוק קבצים מ-Google Drive, לכתוב אימיילים מחשבון Gmail של הקורבן כדי לבצע התקפות הנדסה חברתית, [להוציא] נתונים רגישים מיומן Google, תמונות או מסמכים, ועוד." כתבו חוקרים בפוסט.
אפליקציה ש'רוחות רפאים' את הקורבן
השמיים פלטפורמת Google Cloud בנוי לארח כל אחד מאלפי יישומים עבור משתמשי קצה, שבדומה למערכות אקולוגיות אחרות של אפליקציות, יש חנות רשמית שבה ניתן להוריד אותן בקלות - במקרה זה, ה-Google Marketplace - יחד עם שווקי צד שלישי. לאחר אישור הורדה על ידי המשתמש, האפליקציה מקבלת אסימון ברקע, המעניק גישה לחשבון גוגל של המתקין בהתבסס על ההרשאות שהאפליקציה מבקשת.
באמצעות הפגיעות של GhostToken, תוקפי סייבר יכולים ליצור אפליקציה זדונית שאותה הם יכולים לשתול באחת מחנויות האפליקציות, להתחזות לכלי עזר או שירות לגיטימיים. אבל לאחר ההורדה, האפליקציה תסתיר את עצמה מדף ניהול האפליקציה של חשבון Google של הקורבן.
עבור המשתמש, זה בעצם נעלם.
"מכיוון שזה המקום היחיד שמשתמשי גוגל יכולים לראות את האפליקציות שלהם ולבטל את הגישה שלהם, הניצול הופך את האפליקציה הזדונית לבלתי ניתנת להסרה מחשבון גוגל", על פי הניתוח. "התוקף לעומת זאת, כרצונו, יכול לבטל את הסתרת האפליקציה שלו ולהשתמש באסימון כדי לגשת לחשבון של הקורבן, ואז להסתיר את האפליקציה במהירות שוב כדי לשחזר את מצבה הבלתי ניתן להסרה. במילים אחרות, התוקף מחזיק אסימון 'רוח רפאים' לחשבון הקורבן".
עידן גור, חוקר באסטריקס, אומר שלפגם היו יכולות להיות השלכות מרחיקות לכת הן לעסקים והן לאנשים פרטיים, וכי הוא משמש קריאת השכמה כדי לזכור כמה גישה יש לאפליקציות ענן לחיינו, ואת הסכנה. זֶה צל IT יכול להיות עבור ארגונים.
"הפגיעות הספציפית הזו אפשרה לתוקפי סייבר מצד אחד לקבל גישה לסביבות GCP ארגוניות, אבל מהצד השני, לתמונות Google האישיות של אנשים ולחשבונות האימייל שלהם", הוא אומר. "כדאי לזכור שהשירותים השונים הללו שאנו משתמשים בהם כל יום לכל דבר למעשה מועדים לאתגרים מסוג זה, והכל קשור לאופן שבו אנו משתמשים בהם, ומצד שני, כיצד אנו מאבטחים אותו."
מעקב אחר פנטום
למרות שהפרטים מועטים, הבעיה הטכנית נוצרה בדרך כלל מהאופן שבו גוגל מעבדת לקוחות OAuth כשהם מושבתים, אמרו החוקרים. צד שלישי לקוחות OAuth לעתים קרובות משולבים באפליקציות כדי לאפשר להם להתחבר למשתמשים בקלות רבה יותר על ידי שימוש באימות קיים עם משתמשים מהימנים אחרים. דוגמה נפוצה היא "כניסה לפייסבוק" המוצעים על ידי אתרים רבים.
באשר לאופן שבו ניתן לנצל אותו, זה מתחיל בעובדה שכל אפליקציה המוצעת למשתמשי גוגל ב-Google Marketplace (או באתרים אחרים) קשורה ל"פרויקט" יחיד של GCP המארח אותו. אם הבעלים של פרויקט ה-GCP (בדרך כלל המפתח) מוחק אותו, הוא נכנס למה שאסטריקס מתייחסת אליו כ"מצב מחיקה דמוי לימבו, בהמתנה", והוא "נשאר כך למשך 30 יום עד שהוא נמחק לחלוטין".
ניתן לשחזר את הפרויקטים הממתינים למחיקה הללו לחלוטין לפי גחמת הבעלים מדף ייעודי שנעשה למטרה זו. עם זאת, עבור משתמשי קצה, האפליקציה נעלמת מיד מדף הניהול "אפליקציות עם גישה לחשבון שלך".
לפיכך, תרחיש ההתקפה הולך כך:
- קורבן מאשר יישום OAuth לגיטימי לכאורה (אך, במציאות, מרושע). ברקע, התוקף מקבל אסימון לחשבון הגוגל של הקורבן.
- התוקפים מוחקים את הפרויקט המשויך לאפליקציית OAuth המורשית, שנכנסת למצב מחיקה בהמתנה - האפליקציה הופכת להיות מוסתרת ובלתי ניתנת להסרה מנקודת מבטו של הקורבן.
- בכל פעם שהתוקפים רוצים לקבל גישה לנתונים של הקורבן הם משחזרים את הפרויקט, מקבלים אסימון גישה חדש ומשתמשים בו כדי לגשת לנתונים של הקורבן.
- לאחר מכן, התוקפים מסתירים מיד מחדש את האפליקציה מהקורבן.
- כדי לשמור על התמדה, יש לבצע את לולאת ההתקפה מעת לעת לפני שהפרויקט הממתין למחיקה ימוחק.
"במהלך שלב 2 של לולאת ההתקפה, הגישה מופיעה מחדש בדף 'אפליקציות עם גישה לחשבון שלך', מה שאומר שהקורבן עשוי להסיר טכנית את הגישה של האפליקציה בחלון הזמן הזה", הסבירו החוקרים. "עם זאת, זוהי מסגרת זמן מוגבלת מאוד שנמשכת עד שהתוקף יבצע שוב את שלב 1 של לולאת ההתקפה."
קרב נצחי על שימושיות ואבטחה
גור מציין שהפגיעות הייתה חריגה מכיוון שהיא קשורה לתכונת ליבה שהתנהגה, לכאורה, כפי שהיא צריכה: מתן גמישות למפתחים ללא להכשיל את משתמשי הקצה עם הערות על אפליקציות שהם כבר לא יכולים להשתמש בהם.
"בדרך כלל כשאנחנו מדברים על נקודות תורפה, אלה דברים שבורים שאתה יכול פשוט לתקן ולהמשיך הלאה", הוא מסביר. "אבל במקרה הזה, זה היה למעשה תכונת ליבה של GCP וכיצד אתה יוצר פרויקטים ב-GCP. זה דווקא נחמד להיות מסוגל לחזור לדברים שעשית בעבר, שלא התכוונת למחוק. אבל מצד שני, עם קצת יצירתיות, וגישה מאוד פשוטה, זה יכול להפוך למשהו שיכול לשבור לחלוטין את האופן שבו ניהול זהות וגישה מתבצע על ידי צד שלישי חיצוני ששולב בסביבה הזו ( OAuth)."
ואכן, הבאג מדבר על הדחיפה המתמשכת בין שימושיות ואבטחה המורגשת בכל חלקי הסביבה הארגונית, מציין גור.
"ההשלכות על אבטחת ענן, במיוחד כשהיא נוגעת לארגונים ולמידע הפרטי של כל כך הרבה אנשים בימינו, האם זה כן, לפעמים זה מפריע לפרודוקטיביות או בניידות אישית, וזה מה שאנחנו רוצים?" הוא אומר. "אתה צריך לחשוב על הדברים האלה משלב התכנון ולהעריך תכונות לאיזון בין ערך למשתמש לאבטחה. זה הרבה, הרבה, הרבה יותר קל לעשות לפני שהכל מיושם ומאות או אלפי אנשים משתמשים בזה”.
Ghost No More: Mitigation & a Patch
מוקדם יותר החודש, גוגל הוציאה תיקון גלובלי, שתיקן את הבעיה על ידי וידוא שאפליקציות במצב מחיקה ממתין עדיין גלויות במסך ניהול האפליקציות של המשתמש. עם זאת, חוקרי Astrix הזהירו כי למרות שהם אינם מודעים לניצול פעיל, מנהלי Google Workspace צריכים לחפש יישומים שייתכן ותקפו משתמשים לפני שהתיקון הוחל ב-7 באפריל.
ניתן לעשות זאת בשתי דרכים, אמרו החוקרים:
- מחפש יישומים שמזהה הלקוח שלהם זהה לשדה 'displayText' ומסיר את הגישה שלהם אם הם מתגלים כזדוניים;
- או בדיקת אירועי יומן OAuth בתכונת "ביקורת וחקירה" של Google Workspace לאיתור פעילות אסימון של אפליקציות כאלה.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- הטבעת העתיד עם אדריאן אשלי. גישה כאן.
- מקור: https://www.darkreading.com/remote-workforce/-ghosttoken-opens-google-accounts-to-permanent-infection
- :הוא
- 1
- 20
- 7
- a
- יכול
- אודות
- גישה
- גישה
- פי
- חֶשְׁבּוֹן
- חשבונות
- פעיל
- פעילות
- למעשה
- מנהלים
- תעשיות
- לאורך
- an
- אנליזה
- ו
- כל
- האפליקציה
- בקשה
- יישומים
- גישה
- אפליקציות
- אַפּרִיל
- ARE
- מערך
- AS
- המשויך
- At
- לתקוף
- המתקפות
- בדיקה
- אימות
- רקע
- איזון
- מבוסס
- בעיקרון
- קרב
- BE
- כי
- הופך להיות
- לפני
- בֵּין
- קצת
- שניהם
- לשבור
- שבור
- חרק
- נבנה
- עסקים
- by
- יומן אירועים
- שיחה
- CAN
- מקרה
- מקרים
- האתגרים
- לקוחות
- לקוחות
- ענן
- פלטפורמת ענן
- Common
- לחלוטין
- השלכות
- להמשיך
- ליבה
- יכול
- לעצב
- לִיצוֹר
- יצירתיות
- סכנה
- נתונים
- יְוֹם
- ימים
- מוקדש
- עיצוב
- פרטים
- מפתח
- מפתחים
- DID
- אחר
- גילה
- מטה
- להורדה
- נהיגה
- דיבוב
- בְּמַהֲלָך
- קל יותר
- בקלות
- מערכות אקולוגיות
- אמייל
- מיילים
- הנדסה
- מִפְעָל
- נכנס
- סביבה
- סביבות
- במיוחד
- להעריך
- אֲפִילוּ
- אירועים
- כל
- כל יום
- הכל
- דוגמה
- מוציאים להורג
- קיימים
- מוסבר
- מסביר
- לנצל
- ניצול
- ומנוצל
- חיצוני
- מאוד
- פייסבוק
- מרחיק לכת
- מאפיין
- תכונות
- שדה
- קבצים
- פגם
- גמישות
- בעד
- מסגרת
- החל מ-
- לגמרי
- בדרך כלל
- לקבל
- רוּחַ
- נתינה
- גלוֹבָּלִי
- Goes
- מפות גוגל
- הענקת
- יד
- יש
- he
- מוּסתָר
- הסתר
- מחזיק
- המארח
- מארחים
- איך
- אולם
- HTTPS
- מאות
- ID
- זהות
- מיד
- יושם
- השלכות
- in
- באחר
- כולל
- אנשים
- מידע
- משולב
- אל תוך
- חקירה
- סוגיה
- IT
- שֶׁלָה
- עצמו
- jpg
- כמו
- מוגבל
- קְצָת
- חי
- מקומות
- עוד
- נראה
- עשוי
- לתחזק
- עושה
- עשייה
- ניהול
- רב
- הרבה אנשים
- מפות
- שוק
- שוקי
- מאי..
- אומר
- הֲקָלָה
- ניידות
- חוֹדֶשׁ
- יותר
- חדש
- גישה חדשה
- בדרך כלל
- הערות
- oauth
- of
- מוצע
- רשמי
- on
- ONE
- מתמשך
- רק
- נפתח
- or
- אִרְגוּנִי
- ארגונים
- אחר
- שלנו
- בעלים
- עמוד
- חלקים
- צד
- עבר
- תיקון
- תלוי ועומד
- אֲנָשִׁים
- לְבַצֵעַ
- קבוע
- הרשאות
- התמדה
- אדם
- אישי
- פרספקטיבה
- שלב
- דיוג
- התקפות פישינג
- תמונות
- גופני
- מקום
- פלטפורמה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- אנא
- פְּרָטִי
- מידע פרטי
- תהליכים
- פִּריוֹן
- פּרוֹיֶקט
- פרויקטים
- להוכיח
- מטרה
- מהירות
- RE
- קריאה
- מציאות
- מקבל
- מתייחס
- קָשׁוּר
- שוחרר
- לזכור
- זוכר
- להסיר
- הסרת
- דווח
- חוקר
- חוקרים
- לחזור
- התגלגל
- s
- אמר
- אותו
- אומר
- תרחיש
- מסך
- לבטח
- אבטחה
- פגיעות אבטחה
- רגיש
- משמש
- שרות
- שירותים
- צריך
- צד
- since
- יחיד
- So
- חֶברָתִי
- הנדסה חברתית
- משהו
- מדבר
- ספציפי
- התחלות
- מדינה
- שלב
- עוד
- חנות
- חנויות
- פשוט
- כזה
- לדבר
- נבחרת
- טכני
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- אלה
- דברים
- חושב
- שְׁלִישִׁי
- צד שלישי
- זֶה
- אלפים
- זמן
- ל
- אסימון
- מעקב
- מהימן
- הסתובב
- שמישות
- להשתמש
- משתמש
- משתמשים
- בְּדֶרֶך כְּלַל
- תועלת
- ערך
- באמצעות
- קרבן
- נראה
- פגיעויות
- פגיעות
- היה
- דֶרֶך..
- דרכים
- we
- אתרים
- מה
- אשר
- בזמן
- יצטרך
- עם
- בתוך
- לְלֹא
- מילים
- ראוי
- לכתוב
- אתה
- זפירנט