Odkryto groźny sposób przejmowania kont Google. Zmiana hasła nie pomoże!
Raport opublikowany przez badaczy z CloudSEK pokazał, że istnieje metoda na to, aby włamywacz wykorzystał mechanizm synchronizacji konta w celu przejęcia wybranego. Czy można się przed tym obronić? I co na to samo Google?
Ochrona posiadanego konta – niezależnie od tego, w jakim znajduje się serwisie – to priorytet dla każdego użytkownika. Gorzej jednak gdy mamy sytuację, w której najlepsze zabezpieczenia mogą okazać się nieskuteczne. Niestety – tak właśnie dzieje się teraz.
Google OAuth – tykająca bomba
Usługa internetowa OAuth to endpoint o nazwie “MultiLogin”, służący do przywracania cookies potwierdzających uwierzytelnianie, których ważność już się skończyła. Może to zabrzmieć nieco niezrozumiale, wyjaśnię więc najpierw, jak to działa – gdy użytkownik korzysta z sieci, na urządzeniu zapisywane są “ciasteczka” (na które często wyrażamy zgodę). W przypadku logowania się do usług Google’a, powstają takie, które zawierają informacje o danych podawanych przez użytkownika. Służą one jako identyfikator sesji i mają krótką datę ważności – są to tzw. “ciasteczka sesji”.
Wykryty przez badaczy z CloudSEK sposób polega na ich wykradzeniu, a następnie wykorzystaniu w celu zalogowania się na konto. Jak tego dokonują? Po prostu “przywracają ich ważność”. Nie ma przy tym znaczenia, czy użytkownik wylogował się z konta, zmienił do niego hasło czy też przelogował się na inne konto. Do pozyskiwania tych cookies używane są wyspecjalizowane malware jak Lumma czy Rhadamanthys, za pomocą których przeprowadzono w październiku i listopadzie b.r. kilka udanych ataków. CloudSEK zaprezentował nawet kod szkodników, w którym widać pozyskiwanie informacji z tokenów używanym przy sesyjnych cookies.
Co zatem robić, aby chronić konto? Niestety – Google milczy i nie odpowiada na pytania badaczy. A jak ustalił serwis Bleeping Computer, cyberprzestępcy sprzedają na czarnym rynku aż sześć narzędzi wyspecjalizowanych w tego typu działaniach. To bardzo niedobra informacja. Musimy czekać zatem cierpliwie, aż podatność zostanie zlikwidowana i mieć nadzieję, że nikt nie przejmie nam konta.
źródło: CHIP