ช่องโหว่ด้านความปลอดภัยใน Cloud Platform (GCP) ของ Google อาจทำให้ผู้โจมตีทางไซเบอร์สามารถซ่อนแอปพลิเคชันอันตรายที่ไม่สามารถลบออกได้ภายในบัญชี Google ของเหยื่อ ทำให้บัญชีอยู่ในสถานะติดไวรัสอย่างถาวรและตรวจไม่พบ
ข้อผิดพลาดที่เรียกว่า "GhostToken" ถูกค้นพบและรายงานโดยนักวิจัยด้านความปลอดภัยของ Atrix จากการวิเคราะห์ที่เผยแพร่โดยทีมงานเมื่อวันที่ 20 เมษายน แอปที่เป็นอันตรายอาจปูทางไปสู่กิจกรรมที่เลวร้ายมากมาย รวมทั้งการอ่านบัญชี Gmail ของเหยื่อ การเข้าถึงไฟล์ใน Google ไดรฟ์และ Google Photos การดูปฏิทิน Google และ ติดตามตำแหน่งผ่าน Google Maps
ด้วยข้อมูลดังกล่าว ผู้โจมตีสามารถสร้างการปลอมตัวที่น่าเชื่อถืออย่างยิ่งและการโจมตีแบบฟิชชิง หรือแม้กระทั่งทำให้บุคคลนั้นตกอยู่ในอันตรายทางกายภาพ
“ในกรณีที่แย่กว่านั้น… ผู้โจมตีอาจสามารถลบไฟล์ออกจาก Google Drive, เขียนอีเมลจากบัญชี Gmail ของเหยื่อเพื่อทำการโจมตีทางวิศวกรรมสังคม, [กรอง] ข้อมูลที่ละเอียดอ่อนจาก Google ปฏิทิน, Photos หรือ Docs และอื่นๆ” นักวิจัยเขียนไว้ในโพสต์.
แอพที่ 'ผี' เหยื่อ
พื้นที่ Google Cloud Platform สร้างขึ้นเพื่อโฮสต์แอปพลิเคชันหลายพันรายการสำหรับผู้ใช้ปลายทาง ซึ่งเช่นเดียวกับระบบนิเวศของแอปอื่นๆ คือมีร้านค้าอย่างเป็นทางการที่สามารถดาวน์โหลดได้ง่าย ในกรณีนี้คือ Google Marketplace พร้อมด้วยตลาดของบุคคลที่สาม เมื่อผู้ใช้ได้รับอนุญาตให้ดาวน์โหลดแล้ว แอปพลิเคชันจะได้รับโทเค็นในเบื้องหลัง โดยให้สิทธิ์เข้าถึงบัญชี Google ของผู้ติดตั้งตามสิทธิ์ที่แอปขอ
ด้วยการใช้ช่องโหว่ GhostToken ผู้โจมตีทางไซเบอร์สามารถสร้างแอปพลิเคชันที่เป็นอันตรายซึ่งพวกเขาสามารถปลูกในร้านค้าแอปแห่งใดแห่งหนึ่งโดยปลอมตัวเป็นยูทิลิตี้หรือบริการที่ถูกต้องตามกฎหมาย แต่เมื่อดาวน์โหลดแล้ว แอพจะซ่อนตัวเองจากหน้าการจัดการแอปพลิเคชันบัญชี Google ของเหยื่อ
สำหรับผู้ใช้โดยทั่วไปจะหายไป
“เนื่องจากที่นี่เป็นที่เดียวที่ผู้ใช้ Google สามารถดูแอปพลิเคชันของตนและยกเลิกการเข้าถึงได้ การเจาะระบบทำให้แอปที่เป็นอันตรายไม่สามารถลบออกจากบัญชี Google ได้” ตามการวิเคราะห์ “ในทางกลับกัน ผู้โจมตีสามารถยกเลิกการซ่อนแอปพลิเคชันของตนและใช้โทเค็นเพื่อเข้าถึงบัญชีของเหยื่อ จากนั้นซ่อนแอปพลิเคชันอย่างรวดเร็วอีกครั้งเพื่อกู้คืนสถานะที่ไม่สามารถลบออกได้ กล่าวอีกนัยหนึ่ง ผู้โจมตีถือโทเค็น 'ผี' ในบัญชีของเหยื่อ”
Idan Gour นักวิจัยจาก Astrix กล่าวว่าข้อบกพร่องดังกล่าวอาจมีผลที่ตามมาอย่างกว้างไกลทั้งต่อธุรกิจและบุคคล และทำหน้าที่เป็นเครื่องเตือนใจให้จดจำว่าแอปบนระบบคลาวด์เข้าถึงชีวิตของเรามากน้อยเพียงใด และอันตราย ที่ ไอทีเงาสามารถมีสำหรับองค์กร.
“ช่องโหว่เฉพาะนี้ทำให้ผู้โจมตีทางไซเบอร์ด้านหนึ่งสามารถเข้าถึงสภาพแวดล้อม GCP ขององค์กรได้ แต่อีกด้านหนึ่งเข้าถึง Google Photos ส่วนตัวของผู้ใช้และบัญชีอีเมลของพวกเขาได้” เขากล่าว “เป็นเรื่องที่ควรค่าแก่การจดจำว่าบริการต่าง ๆ เหล่านี้ที่เราใช้ทุกวันสำหรับทุกสิ่งนั้นมีแนวโน้มที่จะเผชิญกับความท้าทาย [ของ] ประเภทนี้ และทั้งหมดนี้เกี่ยวกับวิธีที่เราใช้งานและในอีกด้านหนึ่งคือวิธีที่เรารักษาความปลอดภัย”
ติดตามผี
แม้ว่ารายละเอียดจะน้อย แต่โดยทั่วไปแล้วปัญหาทางเทคนิคเกิดจากวิธีที่ Google ประมวลผลไคลเอนต์ OAuth เมื่อเลิกใช้งาน นักวิจัยกล่าว บุคคลที่สาม ลูกค้า OAuth มักจะรวมเข้ากับแอพเพื่อให้ผู้ใช้เข้าสู่ระบบได้ง่ายขึ้นโดยใช้การรับรองความถูกต้องที่มีอยู่กับผู้ใช้ที่เชื่อถือได้รายอื่น ตัวอย่างทั่วไปคือ "เข้าสู่ระบบด้วย Facebook" ที่เสนอโดยเว็บไซต์จำนวนมาก
เท่าที่จะสามารถใช้ประโยชน์ได้นั้นเริ่มต้นด้วยข้อเท็จจริงที่ว่าทุกแอปพลิเคชันที่เสนอให้กับผู้ใช้ Google ใน Google Marketplace (หรือเว็บไซต์อื่น ๆ ) นั้นเชื่อมโยงกับ "โครงการ" ของ GCP เดียวที่โฮสต์ หากเจ้าของโครงการ GCP (โดยปกติคือผู้พัฒนา) ลบออก โครงการนั้นจะเข้าสู่สิ่งที่ Astrix อ้างถึงว่าเป็น “สถานะการลบที่คล้ายกับขอบรก” และ “คงอยู่อย่างนั้นเป็นเวลา 30 วันจนกว่าจะล้างและลบออกทั้งหมด”
โครงการที่รอการลบเหล่านี้สามารถกู้คืนได้อย่างสมบูรณ์ตามความตั้งใจของเจ้าของจากหน้าเฉพาะที่สร้างขึ้นเพื่อจุดประสงค์นั้น อย่างไรก็ตาม สำหรับผู้ใช้ปลายทาง แอปจะหายไปจากหน้าการจัดการ "แอปที่มีสิทธิ์เข้าถึงบัญชีของคุณ" ทันที
ดังนั้น สถานการณ์การโจมตีจะเป็นดังนี้:
- เหยื่อให้สิทธิ์แอปพลิเคชัน OAuth ที่ดูเหมือนถูกต้องตามกฎหมาย (แต่ในความเป็นจริง ชั่วร้าย) ในเบื้องหลัง ผู้โจมตีจะได้รับโทเค็นสำหรับบัญชี Google ของเหยื่อ
- ผู้โจมตีจะลบโปรเจ็กต์ที่เกี่ยวข้องกับแอปพลิเคชัน OAuth ที่ได้รับอนุญาต ซึ่งเข้าสู่สถานะรอการลบ แอปพลิเคชันจะถูกซ่อนและไม่สามารถลบออกได้จากมุมมองของเหยื่อ
- เมื่อใดก็ตามที่ผู้โจมตีต้องการเข้าถึงข้อมูลของเหยื่อ พวกเขากู้คืนโครงการ รับโทเค็นการเข้าถึงใหม่ และใช้เพื่อเข้าถึงข้อมูลของเหยื่อ
- จากนั้นผู้โจมตีจะซ่อนแอปพลิเคชันใหม่จากเหยื่อทันที
- เพื่อรักษาความคงอยู่ ลูปการโจมตีจะต้องดำเนินการเป็นระยะๆ ก่อนที่โปรเจ็กต์ที่รอการลบจะถูกล้าง
“ในระหว่างขั้นตอนที่ 2 ของวงจรการโจมตี การเข้าถึงจะปรากฏขึ้นอีกครั้งในหน้า 'แอปที่เข้าถึงบัญชีของคุณ' ซึ่งหมายความว่าเหยื่ออาจลบการเข้าถึงของแอปพลิเคชันในทางเทคนิคในช่วงเวลานี้” นักวิจัยอธิบาย “อย่างไรก็ตาม มันเป็นกรอบเวลาที่จำกัดมาก ซึ่งคงอยู่จนกว่าผู้โจมตีจะดำเนินการขั้นตอนที่ 1 ของวงจรการโจมตีอีกครั้ง”
การต่อสู้นิรันดร์ของการใช้งานและความปลอดภัย
Gour ตั้งข้อสังเกตว่าช่องโหว่ดังกล่าวเป็นช่องโหว่ที่ผิดปกติเนื่องจากเกี่ยวข้องกับคุณลักษณะหลักที่เห็นได้ชัดว่ามีพฤติกรรมตามที่ควรจะเป็น: ให้ความยืดหยุ่นแก่นักพัฒนาโดยไม่ต้อง ขัดขวางผู้ใช้ปลายทาง พร้อมบันทึกเกี่ยวกับแอพที่พวกเขาไม่สามารถใช้งานได้อีกต่อไป
“โดยปกติเมื่อเราพูดถึงช่องโหว่ สิ่งเหล่านี้เป็นสิ่งที่เสียหายซึ่งคุณสามารถแก้ไขและดำเนินการต่อได้” เขาอธิบาย “แต่ในกรณีนี้ มันเป็นคุณลักษณะหลักของ GCP และวิธีที่คุณสร้างโครงการใน GCP เป็นเรื่องดีจริงๆ ที่สามารถย้อนกลับไปยังสิ่งที่คุณทำในอดีต ซึ่งคุณไม่ได้ตั้งใจจะลบ แต่ในทางกลับกัน ด้วยความคิดสร้างสรรค์เล็กน้อยและวิธีการที่ตรงไปตรงมามาก อาจกลายเป็นสิ่งที่สามารถทำลายวิธีการจัดการข้อมูลประจำตัวและการเข้าถึงที่ทำโดยบุคคลที่สามภายนอกที่รวมเข้ากับสภาพแวดล้อมนี้โดยสิ้นเชิง ( OAuth)”
และแน่นอนว่าบั๊กพูดถึงการผลักดันอย่างต่อเนื่องระหว่างความสามารถในการใช้งานและความปลอดภัยที่สัมผัสได้ในทุกส่วนของสภาพแวดล้อมขององค์กร Gour ตั้งข้อสังเกต
“ผลกระทบสำหรับ รักษาความปลอดภัยเมฆโดยเฉพาะอย่างยิ่งเมื่อมันกระทบกับองค์กรและข้อมูลส่วนตัวของคนจำนวนมากในปัจจุบัน ใช่แล้ว บางครั้งมันเข้ามาขวางทางประสิทธิภาพการทำงานหรือความคล่องตัวส่วนบุคคล และนั่นคือสิ่งที่เราต้องการหรือไม่” เขาพูดว่า. “คุณต้องคิดถึงสิ่งเหล่านี้ตั้งแต่ขั้นตอนการออกแบบและประเมินคุณลักษณะต่างๆ เพื่อความสมดุลระหว่างคุณค่าต่อผู้ใช้และความปลอดภัย มันทำได้ง่ายกว่ามาก ก่อนที่ทุกอย่างจะถูกนำไปใช้ และผู้คนหลายร้อยหรือหลายพันคนกำลังใช้มันอยู่”
Ghost No More: การบรรเทาผลกระทบและแพทช์
เมื่อต้นเดือนนี้ Google ได้เปิดตัวแพตช์ส่วนกลาง แก้ไขปัญหาโดยทำให้แน่ใจว่าแอปที่อยู่ในสถานะรอการลบยังคงมองเห็นได้ในหน้าจอการจัดการแอปของผู้ใช้ อย่างไรก็ตาม นักวิจัยของ Astrix เตือนว่าแม้ว่าพวกเขาจะไม่ทราบถึงการแสวงหาผลประโยชน์ที่ดำเนินอยู่ ผู้ดูแลระบบ Google Workspace ควรมองหาแอปพลิเคชันที่อาจโจมตีผู้ใช้ก่อนที่จะเริ่มแพตช์ในวันที่ 7 เมษายน
สามารถทำได้สองวิธี นักวิจัยกล่าวว่า:
- ค้นหาแอปพลิเคชันที่มี ID ไคลเอนต์เหมือนกับฟิลด์ 'displayText' และลบการเข้าถึงหากพิสูจน์ได้ว่าเป็นอันตราย
- หรือตรวจสอบเหตุการณ์บันทึก OAuth ในฟีเจอร์ "การตรวจสอบและการตรวจสอบ" ของ Google Workspace เพื่อหากิจกรรมโทเค็นของแอปดังกล่าว
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
- การสร้างอนาคตโดย Adryenn Ashley เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/remote-workforce/-ghosttoken-opens-google-accounts-to-permanent-infection
- :เป็น
- 1
- 20
- 7
- a
- สามารถ
- เกี่ยวกับเรา
- เข้า
- การเข้าถึง
- ตาม
- ลงชื่อเข้าใช้
- บัญชี
- คล่องแคล่ว
- อยากทำกิจกรรม
- จริง
- ผู้ดูแลระบบ
- ทั้งหมด
- ตาม
- an
- การวิเคราะห์
- และ
- ใด
- app
- การใช้งาน
- การใช้งาน
- เข้าใกล้
- ปพลิเคชัน
- เมษายน
- เป็น
- แถว
- AS
- ที่เกี่ยวข้อง
- At
- โจมตี
- การโจมตี
- การตรวจสอบบัญชี
- การยืนยันตัวตน
- พื้นหลัง
- ยอดคงเหลือ
- ตาม
- เป็นพื้น
- การต่อสู้
- BE
- เพราะ
- จะกลายเป็น
- ก่อน
- ระหว่าง
- บิต
- ทั้งสอง
- ทำลาย
- แตก
- Bug
- สร้าง
- ธุรกิจ
- by
- ปฏิทิน
- โทรศัพท์
- CAN
- กรณี
- กรณี
- ความท้าทาย
- ไคลเอนต์
- ลูกค้า
- เมฆ
- แพลตฟอร์มคลาวด์
- ร่วมกัน
- อย่างสมบูรณ์
- ผลที่ตามมา
- ต่อ
- แกน
- ได้
- หัตถกรรม
- สร้าง
- ความคิดสร้างสรรค์
- อันตราย
- ข้อมูล
- วัน
- วัน
- ทุ่มเท
- ออกแบบ
- รายละเอียด
- ผู้พัฒนา
- นักพัฒนา
- DID
- ต่าง
- ค้นพบ
- ลง
- ดาวน์โหลด
- ขับรถ
- ขนานนามว่า
- ในระหว่าง
- ง่ายดาย
- อย่างง่ายดาย
- ระบบนิเวศ
- อีเมล
- อีเมล
- ชั้นเยี่ยม
- Enterprise
- รุก
- สิ่งแวดล้อม
- สภาพแวดล้อม
- โดยเฉพาะอย่างยิ่ง
- ประเมินค่า
- แม้
- เหตุการณ์
- ทุกๆ
- ทุกวัน
- ทุกอย่าง
- ตัวอย่าง
- รัน
- ที่มีอยู่
- อธิบาย
- อธิบาย
- เอาเปรียบ
- การแสวงหาผลประโยชน์
- ใช้ประโยชน์
- ภายนอก
- อย่างยิ่ง
- กว้างขวาง
- ลักษณะ
- คุณสมบัติ
- สนาม
- ไฟล์
- ข้อบกพร่อง
- ความยืดหยุ่น
- สำหรับ
- FRAME
- ราคาเริ่มต้นที่
- อย่างเต็มที่
- โดยทั่วไป
- ได้รับ
- ผี
- ให้
- เหตุการณ์ที่
- ไป
- Google แผนที่
- การอนุญาต
- มือ
- มี
- he
- ซ่อนเร้น
- ซ่อน
- ถือ
- เจ้าภาพ
- เจ้าภาพ
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- อย่างไรก็ตาม
- HTTPS
- ร้อย
- ID
- เอกลักษณ์
- ทันที
- การดำเนินการ
- ผลกระทบ
- in
- ในอื่น ๆ
- รวมทั้ง
- บุคคล
- ข้อมูล
- แบบบูรณาการ
- เข้าไป
- การสอบสวน
- ปัญหา
- IT
- ITS
- ตัวเอง
- jpg
- กดไลก์
- ถูก จำกัด
- น้อย
- ชีวิต
- วันหยุด
- อีกต่อไป
- ดู
- ทำ
- เก็บรักษา
- ทำให้
- การทำ
- การจัดการ
- หลาย
- หลายคน
- แผนที่
- ตลาด
- ตลาด
- อาจ..
- วิธี
- การบรรเทา
- การเคลื่อนย้าย
- เดือน
- ข้อมูลเพิ่มเติม
- ใหม่
- การเข้าถึงใหม่
- ปกติ
- หมายเหตุ / รายละเอียดเพิ่มเติม
- รับรอง
- of
- เสนอ
- เป็นทางการ
- on
- ONE
- ต่อเนื่อง
- เพียง
- เปิด
- or
- องค์กร
- องค์กร
- อื่นๆ
- ของเรา
- เจ้าของ
- หน้า
- ส่วน
- พรรค
- อดีต
- ปะ
- คาราคาซัง
- คน
- ดำเนินการ
- ถาวร
- สิทธิ์
- วิริยะ
- คน
- ส่วนบุคคล
- มุมมอง
- ระยะ
- ฟิชชิ่ง
- การโจมตีแบบฟิชชิ่ง
- ภาพถ่าย
- กายภาพ
- สถานที่
- เวที
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- กรุณา
- ส่วนตัว
- ข้อมูลส่วนตัว
- กระบวนการ
- ผลผลิต
- โครงการ
- โครงการ
- พิสูจน์
- วัตถุประสงค์
- อย่างรวดเร็ว
- RE
- การอ่าน
- ความจริง
- ที่ได้รับ
- หมายถึง
- ที่เกี่ยวข้อง
- การเผยแพร่
- จำ
- ความทรงจำ
- เอาออก
- ลบ
- รายงาน
- นักวิจัย
- นักวิจัย
- คืนกลับ
- รีด
- s
- กล่าวว่า
- เดียวกัน
- พูดว่า
- สถานการณ์
- จอภาพ
- ปลอดภัย
- ความปลอดภัย
- ช่องโหว่ด้านความปลอดภัย
- มีความละเอียดอ่อน
- ให้บริการอาหาร
- บริการ
- บริการ
- น่า
- ด้าน
- ตั้งแต่
- เดียว
- So
- สังคม
- วิศวกรรมทางสังคม
- บางสิ่งบางอย่าง
- พูด
- โดยเฉพาะ
- เริ่มต้น
- สถานะ
- ขั้นตอน
- ยังคง
- จัดเก็บ
- ร้านค้า
- ซื่อตรง
- อย่างเช่น
- คุย
- ทีม
- วิชาการ
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- สิ่ง
- คิด
- ที่สาม
- ของบุคคลที่สาม
- นี้
- พัน
- เวลา
- ไปยัง
- โทเค็น
- การติดตาม
- ที่เชื่อถือ
- หัน
- การใช้งาน
- ใช้
- ผู้ใช้งาน
- ผู้ใช้
- มักจะ
- ประโยชน์
- ความคุ้มค่า
- ผ่านทาง
- เหยื่อ
- มองเห็นได้
- ช่องโหว่
- ความอ่อนแอ
- คือ
- ทาง..
- วิธี
- we
- เว็บไซต์
- อะไร
- ที่
- ในขณะที่
- จะ
- กับ
- ภายใน
- ไม่มี
- คำ
- คุ้มค่า
- เขียน
- คุณ
- ของคุณ
- ลมทะเล