Lỗ hổng zero-day đứng đầu về rủi ro bảo mật trực tuyến, vì chúng cho phép tin tặc khai thác lỗ hổng mà nhà cung cấp phần mềm không biết. Gần đây, Nền tảng đám mây (GCP) của Google, một công cụ quản lý và lưu trữ dữ liệu phổ biến, đã trở thành mục tiêu của một trong số khai thác, cho phép kẻ tấn công có quyền truy cập vào tài khoản Google của mọi người, bao gồm dữ liệu trong Gmail, Drive, Tài liệu, Ảnh, v.v.
Mặc dù công ty khởi nghiệp về an ninh mạng Astrix Security của Israel đã phát hiện và báo cáo lỗ hổng này từ tháng 6 năm 2022, Google hiện đang tung ra một bản vá để giải quyết vấn đề này.
Lỗ hổng này hoạt động như thế nào?
Được đặt tên là GhostToken, lỗ hổng cho phép tin tặc tạo ứng dụng GCP độc hại của riêng chúng và quảng cáo ứng dụng đó thông qua thị trường Google. Do đó, nếu người dùng cài đặt ứng dụng GCP độc hại và ủy quyền ứng dụng đó bằng cách liên kết ứng dụng đó với mã thông báo OAuth, thì tin tặc sẽ có quyền truy cập vào tài khoản Google của người dùng.
Ngoài ra, để nạn nhân không thể xóa ứng dụng, tin tặc có thể ẩn ứng dụng đó bằng cách xóa dự án GCP được liên kết, đặt ứng dụng ở trạng thái”đang chờ xóa”và ẩn ứng dụng trên trang quản lý ứng dụng của Google. Tệ hơn nữa, những kẻ tấn công có thể lặp lại quy trình ẩn và khôi phục ứng dụng độc hại này mỗi khi chúng cần quyền truy cập vào dữ liệu của nạn nhân.
Mặc dù tác động của cuộc tấn công phụ thuộc vào các quyền mà nạn nhân đã cấp cho ứng dụng , sau khi những kẻ tấn công có quyền truy cập vào tài khoản Google, chúng có thể giữ mã thông báo”ma”, mã này cấp cho chúng quyền truy cập vào dữ liệu vô thời hạn.
Giải pháp của Google
Bản cập nhật gần đây của Google cuối cùng đã có đã khắc phục lỗ hổng bằng cách đảm bảo rằng các ứng dụng GCP OAuth ở trạng thái”đang chờ xóa”sẽ xuất hiện trên trang”Ứng dụng có quyền truy cập vào tài khoản của bạn”. Do đó, cho phép người dùng xóa các ứng dụng này và ngăn chặn mọi nỗ lực chiếm đoạt tài khoản của họ.
Hơn nữa, để giúp bảo vệ khỏi các lỗ hổng và hoạt động khai thác trong tương lai, người dùng cũng nên thường xuyên kiểm tra trang quản lý ứng dụng của mình để xác minh rằng tất cả các phần mềm thứ ba các ứng dụng-party chỉ có các quyền cần thiết cho các chức năng dự định của chúng.
