Luki typu zero-day są najważniejsze, jeśli chodzi o zagrożenia bezpieczeństwa online, ponieważ umożliwiają hakerom wykorzystanie luki w zabezpieczeniach nieznanej dostawcy oprogramowania. Niedawno Google Cloud Platform (GCP), popularne narzędzie do przechowywania i zarządzania danymi, stało się celem jednego z tych exploity, umożliwiające atakującym uzyskanie dostępu do kont Google, w tym danych w Gmailu, Dysku, Dokumentach, Zdjęciach i nie tylko.
Chociaż izraelski startup zajmujący się bezpieczeństwem cybernetycznym, Astrix Security, odkrył i zgłosił lukę w zabezpieczeniach w czerwcu 2022 r., Google obecnie wprowadza łatkę, która ma na celu rozwiązanie tego problemu.
Jak działa luka?
Luka w zabezpieczeniach, nazwana GhostToken, umożliwiła hakerom stworzenie własnej złośliwej aplikacji GCP i reklamowanie jej w sklepie Google. Dlatego jeśli użytkownik zainstalował złośliwą aplikację GCP i autoryzował ją, łącząc ją z tokenem OAuth, hakerzy uzyskaliby dostęp do konta Google użytkownika.
Dodatkowo, aby uniemożliwić ofiarom usunięcie aplikacji, hakerzy mogli ją ukryć, usuwając połączony projekt GCP, ustawiając aplikację w stanie „oczekuje na usunięcie” i czyniąc ją niewidoczną na stronie zarządzania aplikacjami Google. Co gorsza, osoby atakujące mogły powtarzać ten proces ukrywania i przywracania złośliwej aplikacji za każdym razem, gdy potrzebowały dostępu do danych ofiary.
Chociaż wpływ ataku zależał od uprawnień, jakie ofiara przyznała aplikacji , gdy atakujący uzyskali dostęp do konta Google, mogli trzymać token „ghost”, który dawał im dostęp do danych na czas nieokreślony.
Rozwiązanie Google
Ostatnia aktualizacja Google wreszcie naprawiliśmy lukę, upewniając się, że aplikacje GCP OAuth w stanie „oczekujące na usunięcie” będą teraz wyświetlane na stronie „Aplikacje z dostępem do Twojego konta”. Dlatego też, umożliwiając użytkownikom usuwanie tych aplikacji i zapobieganie wszelkim próbom przejęcia ich kont.
Ponadto, aby chronić się przed przyszłymi lukami w zabezpieczeniach i exploitami, użytkownicy powinni również regularnie sprawdzać swoją stronę zarządzania aplikacjami, aby sprawdzić, czy wszystkie osoby trzecie aplikacje firmowe mają tylko niezbędne uprawnienia do swoich funkcji.