گوگل کے کلاؤڈ پلیٹ فارم (جی سی پی) میں سیکیورٹی کی کمزوری سائبر حملہ آوروں کو متاثرہ کے گوگل اکاؤنٹ کے اندر ایک ناقابل ہٹانے والی، بدنیتی پر مبنی ایپلیکیشن کو چھپانے کی اجازت دے سکتی تھی، جس سے اکاؤنٹ کو مستقل، ناقابل شناخت انفیکشن کی حالت میں برباد کر دیا جاتا ہے۔
بگ، جسے "GhostToken" کا نام دیا گیا ہے، کو Astrix سیکیورٹی کے محققین نے دریافت کیا اور اس کی اطلاع دی۔ ٹیم کی جانب سے 20 اپریل کو جاری کیے گئے ایک تجزیے کے مطابق، بدنیتی پر مبنی ایپ نے متاثرین کے جی میل اکاؤنٹ کو پڑھنا، گوگل ڈرائیو اور گوگل فوٹوز میں فائلوں تک رسائی، گوگل کیلنڈر کو دیکھنا، اور اس کے ساتھ ساتھ مذموم سرگرمیوں کی ایک چونکا دینے والی صف کی راہ ہموار کی ہے۔ گوگل میپس کے ذریعے مقامات کا سراغ لگانا۔
اس معلومات سے لیس، حملہ آور انتہائی قابل اعتماد نقالی اور فریب دہی کے حملے کر سکتے ہیں، یا اس شخص کو جسمانی خطرے میں بھی ڈال سکتے ہیں۔
"اس سے بھی بدتر صورتوں میں … حملہ آور گوگل ڈرائیو سے فائلوں کو ڈیلیٹ کرنے، سوشل انجینئرنگ کے حملے کرنے کے لیے متاثرہ کے جی میل اکاؤنٹ سے ای میلز لکھنے، گوگل کیلنڈر، فوٹوز، یا ڈاکس، اور مزید بہت کچھ سے حساس ڈیٹا [خارج] کرنے کے قابل ہو سکتے ہیں۔" محققین نے پوسٹنگ میں لکھا.
ایک ایسی ایپ جو شکار کو 'بھوت' بناتی ہے۔
۔ گوگل کلاؤڈ پلیٹ فارم آخری صارفین کے لیے ہزاروں ایپلی کیشنز میں سے کسی کی میزبانی کے لیے بنایا گیا ہے، جس کا، دوسرے ایپ ایکو سسٹمز کی طرح، ایک آفیشل اسٹور ہے جہاں سے انہیں آسانی سے ڈاؤن لوڈ کیا جا سکتا ہے — اس معاملے میں، گوگل مارکیٹ پلیس — تیسری پارٹی کی مارکیٹوں کے ساتھ۔ صارف کے ذریعے ڈاؤن لوڈ کے لیے اختیار ہونے کے بعد، ایپلیکیشن کو پس منظر میں ایک ٹوکن موصول ہوتا ہے، جو ایپ کے طلب کردہ اجازتوں کی بنیاد پر انسٹالر کے گوگل اکاؤنٹ تک رسائی فراہم کرتا ہے۔
GhostToken کمزوری کا استعمال کرتے ہوئے، سائبر حملہ آور ایک بدنیتی پر مبنی ایپلیکیشن تیار کر سکتے ہیں جسے وہ ایپ اسٹورز میں سے کسی ایک میں لگا سکتے ہیں، ایک جائز افادیت یا خدمت کے طور پر نقاب پوش کر سکتے ہیں۔ لیکن ایک بار ڈاؤن لوڈ ہونے کے بعد، ایپ خود کو متاثرہ کے گوگل اکاؤنٹ ایپلیکیشن مینجمنٹ پیج سے چھپائے گی۔
صارف کے لیے، یہ بنیادی طور پر غائب ہو جاتا ہے۔
تجزیہ کے مطابق، "چونکہ یہ واحد جگہ ہے جہاں گوگل صارفین اپنی ایپلیکیشنز کو دیکھ سکتے ہیں اور اپنی رسائی کو منسوخ کر سکتے ہیں، اس لیے اس استحصال سے نقصان دہ ایپ کو گوگل اکاؤنٹ سے ہٹایا نہیں جا سکتا،" تجزیہ کے مطابق۔ "دوسری طرف حملہ آور، جیسا کہ وہ چاہے، اپنی درخواست کو چھپا سکتا ہے اور متاثرہ کے اکاؤنٹ تک رسائی کے لیے ٹوکن کا استعمال کرسکتا ہے، اور پھر اس کی ناقابل ہٹانے والی حالت کو بحال کرنے کے لیے درخواست کو جلدی سے چھپا سکتا ہے۔ دوسرے لفظوں میں، حملہ آور کے پاس شکار کے کھاتے میں 'بھوت' کا نشان ہے۔
آسٹرکس کے محقق ایڈن گور کا کہنا ہے کہ اس خامی کے کاروباروں اور افراد دونوں کے لیے دور رس نتائج ہو سکتے ہیں، اور یہ یہ یاد رکھنے کے لیے ایک ویک اپ کال کے طور پر کام کرتا ہے کہ کلاؤڈ ایپس کی ہماری زندگیوں میں کتنی رسائی ہے، اور خطرہ۔ کہ سایہ IT کاروباری اداروں کے لئے ہو سکتا ہے.
"اس مخصوص خطرے نے ایک طرف سائبر حملہ آوروں کو تنظیمی GCP ماحول تک رسائی حاصل کرنے کی اجازت دی، لیکن دوسری طرف، لوگوں کی ذاتی Google تصاویر اور ان کے ای میل اکاؤنٹس تک،" وہ کہتے ہیں۔ "یہ یاد رکھنے کے قابل ہے کہ یہ مختلف خدمات جو ہم ہر روز ہر چیز کے لیے استعمال کرتے ہیں درحقیقت اس قسم کے چیلنجز کا شکار ہیں، اور یہ سب کچھ اس بات پر ہے کہ ہم اسے کیسے استعمال کرتے ہیں اور دوسری طرف، ہم اسے کیسے محفوظ رکھتے ہیں۔"
ایک پریت کا سراغ لگانا
محققین نے کہا کہ اگرچہ تفصیلات بہت کم ہیں، لیکن تکنیکی مسئلہ عام طور پر گوگل کے OAuth کلائنٹس پر کارروائی کرنے کے طریقہ کار سے پیدا ہوتا ہے جب ان کو ختم کیا جاتا ہے۔ تیسری پارٹی OAuth کلائنٹس انہیں اکثر ایپس میں ضم کیا جاتا ہے تاکہ وہ صارفین کو دوسرے قابل اعتماد صارفین کے ساتھ موجودہ تصدیق کا استعمال کرکے زیادہ آسانی سے لاگ ان کرسکیں۔ ایک عام مثال بہت سی ویب سائٹس کی طرف سے پیش کردہ "Facebook کے ساتھ لاگ ان" ہے۔
جہاں تک اس کا استحصال کیا جا سکتا ہے، اس کا آغاز اس حقیقت سے ہوتا ہے کہ گوگل مارکیٹ پلیس (یا دوسری ویب سائٹس) میں گوگل کے صارفین کو پیش کی جانے والی ہر ایپلیکیشن ایک واحد GCP "پروجیکٹ" سے وابستہ ہے جو اس کی میزبانی کرتا ہے۔ اگر GCP پروجیکٹ کا مالک (عموماً ڈویلپر) اسے حذف کر دیتا ہے، تو یہ اس میں داخل ہو جاتا ہے جسے Astrix "ایک لمبو جیسی، زیر التواء حذف کرنے کی حالت" کے طور پر کہتے ہیں، اور یہ "30 دنوں تک اسی طرح رہتا ہے جب تک کہ اسے مکمل طور پر صاف اور حذف نہ کر دیا جائے۔"
ان زیر التواء حذف شدہ منصوبوں کو اس مقصد کے لیے بنائے گئے ایک سرشار صفحہ سے مالک کی خواہش پر مکمل طور پر بحال کیا جا سکتا ہے۔ تاہم، آخری صارفین کے لیے، ایپ فوری طور پر "آپ کے اکاؤنٹ تک رسائی کے ساتھ ایپس" کے انتظامی صفحہ سے غائب ہو جاتی ہے۔
اس طرح، حملے کا منظر نامہ اس طرح ہے:
- ایک شکار ایک بظاہر جائز (لیکن، حقیقت میں، برائی) OAuth درخواست کی اجازت دیتا ہے۔ پس منظر میں، حملہ آور کو متاثرہ کے گوگل اکاؤنٹ کے لیے ایک ٹوکن موصول ہوتا ہے۔
- حملہ آور مجاز OAuth ایپلیکیشن کے ساتھ وابستہ پروجیکٹ کو حذف کر دیتے ہیں، جو حذف کرنے کی ایک زیر التواء حالت میں داخل ہوتی ہے — ایپلیکیشن متاثرہ کے نقطہ نظر سے پوشیدہ اور ناقابل ہٹانے والی ہو جاتی ہے۔
- جب بھی حملہ آور شکار کے ڈیٹا تک رسائی حاصل کرنا چاہتے ہیں تو وہ پروجیکٹ کو بحال کرتے ہیں، ایک نیا رسائی ٹوکن حاصل کرتے ہیں، اور اسے شکار کے ڈیٹا تک رسائی کے لیے استعمال کرتے ہیں۔
- حملہ آوروں نے فوری طور پر متاثرہ سے درخواست دوبارہ چھپا دی۔
- استقامت برقرار رکھنے کے لیے، زیر التواء حذف کرنے والے پروجیکٹ کو صاف کرنے سے پہلے اٹیک لوپ کو وقفے وقفے سے عمل میں لانا چاہیے۔
"اٹیک لوپ کے مرحلہ 2 کے دوران، رسائی 'آپ کے اکاؤنٹ تک رسائی کے ساتھ ایپس' کے صفحہ میں دوبارہ ظاہر ہوتی ہے، جس کا مطلب ہے کہ شکار اس ٹائم ونڈو میں تکنیکی طور پر ایپلیکیشن کی رسائی کو ہٹا سکتا ہے،" محققین نے وضاحت کی۔ "تاہم، یہ ایک بہت ہی محدود وقت کا فریم ہے جو اس وقت تک جاری رہتا ہے جب تک کہ حملہ آور حملے کے لوپ کے پہلے مرحلے پر عمل درآمد نہیں کرتا۔"
استعمال اور سلامتی کی ابدی جنگ
گور نے نوٹ کیا کہ کمزوری ایک غیر معمولی تھی کیونکہ اس کا تعلق ایک بنیادی خصوصیت سے تھا جو ظاہری طور پر ایسا برتاؤ کر رہا تھا جیسا کہ ہونا چاہیے: ڈویلپرز کو بغیر کسی لچک کے آخر صارفین کو بوگنگ کرنا ایپس پر نوٹس کے ساتھ وہ مزید استعمال نہیں کر سکتے۔
"عام طور پر جب ہم کمزوریوں کے بارے میں بات کرتے ہیں، تو یہ ایسی چیزیں ہیں جو ٹوٹی ہوئی ہیں جنہیں آپ صرف پیچ کر سکتے ہیں اور جاری رکھ سکتے ہیں،" وہ بتاتے ہیں۔ "لیکن اس معاملے میں، یہ دراصل جی سی پی کی ایک بنیادی خصوصیت تھی اور آپ جی سی پی میں پروجیکٹس کیسے بناتے ہیں۔ یہ واقعی اچھا ہے کہ آپ ان چیزوں پر واپس جا سکیں جو آپ نے ماضی میں کی تھیں، جن کا آپ کو مٹانے کا مطلب نہیں تھا۔ لیکن دوسری طرف، تھوڑی بہت تخلیقی صلاحیتوں، اور ایک بہت ہی سیدھے سادے انداز کے ساتھ، اسے کسی ایسی چیز میں تبدیل کیا جا سکتا ہے جو اس طریقے کو مکمل طور پر توڑ سکتا ہے کہ شناخت اور رسائی کا انتظام کسی بیرونی تیسرے فریق کے ذریعے کیا جاتا ہے جو اس ماحول سے مربوط تھا ( OAuth)۔"
اور درحقیقت، بگ استعمال کے قابل اور سیکورٹی کے درمیان جاری پش پل سے بات کرتا ہے جو انٹرپرائز ماحول کے تمام حصوں میں محسوس ہوتا ہے، گور نوٹ۔
کے لئے مضمرات کلاؤڈ سیکیورٹیخاص طور پر جیسا کہ یہ آج کل بہت سارے لوگوں کی تنظیموں اور نجی معلومات کو چھوتا ہے، کیا ہاں، کبھی کبھی یہ پیداواری یا ذاتی نقل و حرکت کی راہ میں رکاوٹ بن جاتی ہے، اور کیا ہم یہی چاہتے ہیں؟" وہ کہتے ہیں. "آپ کو ڈیزائن کے مرحلے سے ان چیزوں کے بارے میں سوچنا ہوگا اور صارف کی قدر اور سیکیورٹی کے درمیان توازن کے لیے خصوصیات کا جائزہ لینا ہوگا۔ ہر چیز کو لاگو کرنے اور سینکڑوں یا ہزاروں لوگ اسے استعمال کرنے سے پہلے یہ کرنا بہت، بہت، بہت آسان ہے۔"
گھوسٹ مزید نہیں: تخفیف اور ایک پیچ
اس مہینے کے شروع میں، گوگل نے ایک عالمی پیچ تیار کیا، اس مسئلے کو حل کرتے ہوئے اس بات کو یقینی بنایا کہ حذف کرنے کی زیر التواء حالت میں موجود ایپس اب بھی صارف کی ایپ مینجمنٹ اسکرین میں دکھائی دے رہی ہیں۔ تاہم، Astrix محققین نے متنبہ کیا کہ اگرچہ وہ فعال استحصال سے آگاہ نہیں ہیں، گوگل ورک اسپیس کے منتظمین کو ایسی ایپلی کیشنز کو تلاش کرنا چاہیے جنہوں نے 7 اپریل کو پیچ شروع کرنے سے پہلے صارفین پر حملہ کیا ہو۔
یہ دو طریقوں سے کیا جا سکتا ہے، محققین نے کہا:
- ان ایپلیکیشنز کی تلاش میں جن کی کلائنٹ ID 'displayText' فیلڈ جیسی ہے اور اگر وہ بدنیتی پر مبنی ثابت ہوں تو ان کی رسائی کو ہٹانا؛
- یا ایسی کسی بھی ایپس کی ٹوکن سرگرمی کے لیے Google Workspace کے "آڈٹ اینڈ انویسٹی گیشن" فیچر میں OAuth لاگ ایونٹس کا معائنہ کرنا۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو بلاک چین۔ Web3 Metaverse Intelligence. علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- ایڈریین ایشلے کے ساتھ مستقبل کا نقشہ بنانا۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/remote-workforce/-ghosttoken-opens-google-accounts-to-permanent-infection
- : ہے
- 1
- 20
- 7
- a
- قابلیت
- ہمارے بارے میں
- تک رسائی حاصل
- تک رسائی حاصل
- کے مطابق
- اکاؤنٹ
- اکاؤنٹس
- فعال
- سرگرمی
- اصل میں
- منتظمین
- تمام
- ساتھ
- an
- تجزیہ
- اور
- کوئی بھی
- اپلی کیشن
- درخواست
- ایپلی کیشنز
- نقطہ نظر
- ایپس
- اپریل
- کیا
- لڑی
- AS
- منسلک
- At
- حملہ
- حملے
- آڈٹ
- کی توثیق
- پس منظر
- متوازن
- کی بنیاد پر
- بنیادی طور پر
- جنگ
- BE
- کیونکہ
- ہو جاتا ہے
- اس سے پہلے
- کے درمیان
- بٹ
- دونوں
- توڑ
- ٹوٹ
- بگ کی اطلاع دیں
- تعمیر
- کاروبار
- by
- کیلنڈر
- فون
- کر سکتے ہیں
- کیس
- مقدمات
- چیلنجوں
- کلائنٹ
- کلائنٹس
- بادل
- کلاؤڈ پلیٹ فارم
- کامن
- مکمل طور پر
- نتائج
- جاری
- کور
- سکتا ہے
- شلپ
- تخلیق
- تخلیقی
- خطرے
- اعداد و شمار
- دن
- دن
- وقف
- ڈیزائن
- تفصیلات
- ڈیولپر
- ڈویلپرز
- DID
- مختلف
- دریافت
- نیچے
- ڈاؤن لوڈ، اتارنا
- ڈرائیو
- ڈوب
- کے دوران
- آسان
- آسانی سے
- ماحولیاتی نظام۔
- ای میل
- ای میل
- انجنیئرنگ
- انٹرپرائز
- داخل ہوتا ہے
- ماحولیات
- ماحول
- خاص طور پر
- اندازہ
- بھی
- واقعات
- ہر کوئی
- ہر روز
- سب کچھ
- مثال کے طور پر
- پھانسی
- موجودہ
- وضاحت کی
- بیان کرتا ہے
- دھماکہ
- استحصال
- استحصال کیا۔
- بیرونی
- انتہائی
- فیس بک
- دور رس
- نمایاں کریں
- خصوصیات
- میدان
- فائلوں
- غلطی
- لچک
- کے لئے
- فریم
- سے
- مکمل طور پر
- عام طور پر
- حاصل
- گھوسٹ
- دے
- گلوبل
- جاتا ہے
- گوگل
- گوگل نقشہ جات
- گرانڈنگ
- ہاتھ
- ہے
- he
- پوشیدہ
- ذاتی ترامیم چھپائیں
- کی ڈگری حاصل کی
- میزبان
- میزبان
- کس طرح
- تاہم
- HTTPS
- سینکڑوں
- ID
- شناختی
- فوری طور پر
- عملدرآمد
- اثرات
- in
- دیگر میں
- سمیت
- افراد
- معلومات
- ضم
- میں
- تحقیقات
- مسئلہ
- IT
- میں
- خود
- فوٹو
- کی طرح
- لمیٹڈ
- تھوڑا
- زندگی
- مقامات
- اب
- دیکھو
- بنا
- برقرار رکھنے کے
- بناتا ہے
- بنانا
- انتظام
- بہت سے
- بہت سے لوگ
- نقشہ جات
- بازار
- Markets
- مئی..
- کا مطلب ہے کہ
- تخفیف
- موبلٹی
- مہینہ
- زیادہ
- نئی
- نئی رسائی
- عام طور پر
- نوٹس
- اوہ
- of
- کی پیشکش کی
- سرکاری
- on
- ایک
- جاری
- صرف
- کھولتا ہے
- or
- تنظیمی
- تنظیمیں
- دیگر
- ہمارے
- مالک
- صفحہ
- حصے
- پارٹی
- گزشتہ
- پیچ
- زیر التواء
- لوگ
- انجام دیں
- مستقل
- اجازتیں
- مسلسل
- انسان
- ذاتی
- نقطہ نظر
- مرحلہ
- فشنگ
- فشنگ حملوں
- تصویر
- جسمانی
- مقام
- پلیٹ فارم
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- مہربانی کرکے
- نجی
- نجی معلومات
- عمل
- پیداوری
- منصوبے
- منصوبوں
- ثابت کریں
- مقصد
- جلدی سے
- RE
- پڑھنا
- حقیقت
- موصول
- مراد
- متعلقہ
- جاری
- یاد
- یاد رکھنا۔
- ہٹا
- کو ہٹانے کے
- اطلاع دی
- محقق
- محققین
- واپس
- رولڈ
- s
- کہا
- اسی
- کا کہنا ہے کہ
- منظر نامے
- سکرین
- محفوظ بنانے
- سیکورٹی
- سیکیورٹی کا خطرہ
- حساس
- کام کرتا ہے
- سروس
- سروسز
- ہونا چاہئے
- کی طرف
- بعد
- ایک
- So
- سماجی
- معاشرتی انجینرنگ
- کچھ
- بولی
- مخصوص
- شروع ہوتا ہے
- حالت
- مرحلہ
- ابھی تک
- ذخیرہ
- پردہ
- براہ راست
- اس طرح
- بات
- ٹیم
- ٹیکنیکل
- کہ
- ۔
- ان
- ان
- یہ
- چیزیں
- سوچنا
- تھرڈ
- تیسری پارٹی
- اس
- ہزاروں
- وقت
- کرنے کے لئے
- ٹوکن
- ٹریکنگ
- قابل اعتماد
- تبدیل کر دیا
- استعمالی
- استعمال کی شرائط
- رکن کا
- صارفین
- عام طور پر
- کی افادیت
- قیمت
- کی طرف سے
- وکٹم
- نظر
- نقصان دہ
- خطرے کا سامنا
- تھا
- راستہ..
- طریقوں
- we
- ویب سائٹ
- کیا
- جس
- جبکہ
- گے
- ساتھ
- کے اندر
- بغیر
- الفاظ
- قابل
- لکھنا
- تم
- اور
- زیفیرنیٹ