I difetti zero-day sono al primo posto quando si tratta di rischi per la sicurezza online, in quanto consentono agli hacker di sfruttare una vulnerabilità sconosciuta al fornitore del software. Di recente, Cloud Platform (GCP) di Google, un popolare strumento di archiviazione e gestione dei dati, è diventato l’obiettivo di uno di questi exploit, consentendo agli aggressori di ottenere l’accesso agli account Google delle persone, inclusi i dati in Gmail, Drive, Documenti, Foto e altro ancora.
Sebbene la startup israeliana di sicurezza informatica Astrix Security abbia scoperto e segnalato la vulnerabilità nel giugno 2022, Google sta ora implementando una patch per risolvere il problema.
Come funziona la vulnerabilità?
Soprannominata GhostToken, la vulnerabilità ha permesso agli hacker di creare un’app GCP dannosa e pubblicizzarla attraverso il marketplace di Google. Pertanto, se un utente installasse l’app GCP dannosa e la autorizzasse collegandola a un token OAuth, gli hacker otterrebbero l’accesso all’account Google dell’utente.
Inoltre, per impedire alle vittime di rimuovere l’app, gli hacker potrebbero nasconderla eliminando il ha collegato il progetto GCP, mettendo l’app in uno stato”in attesa di eliminazione”e rendendola invisibile nella pagina di gestione dell’applicazione di Google. A peggiorare le cose, gli aggressori potevano ripetere questo processo di occultamento e ripristino dell’app dannosa ogni volta che avevano bisogno di accedere ai dati della vittima.
Anche se l’impatto dell’attacco dipendeva dalle autorizzazioni concesse dalla vittima all’app , una volta che gli aggressori avevano accesso all’account Google, potevano detenere un token”fantasma”, che garantiva loro l’accesso ai dati a tempo indeterminato.
La soluzione di Google
Il recente aggiornamento di Google ha finalmente risolto il problema assicurandosi che le applicazioni GCP OAuth in uno stato di”eliminazione in attesa”ora vengano visualizzate nella pagina”App con accesso al tuo account”. Pertanto, consentendo agli utenti di rimuovere queste applicazioni e impedire qualsiasi tentativo di compromissione dei propri account.
Inoltre, per rimanere protetti da future vulnerabilità ed exploit, gli utenti dovrebbero anche controllare regolarmente la pagina di gestione delle proprie app per verificare che tutti i terzi le applicazioni di terze parti dispongono solo delle autorizzazioni necessarie per le funzioni previste.
