Google je rešio problem sa ranjivošću Google Cloud Platforme (GCP) koja utiče na sve korisnike i omogućava napadačima da hakuju naloge koristeći aplikaciju instaliranu sa Google Marketplace-a ili nekog drugog veb-sajta, koju mogu promeniti tako da bude nevidiljiva i samim tim neuklonjiva, čime bi Google nalog žrtve bio zauvek zaražen trojanskom aplikacijom.
Ranjivost je nazvana GhostToken, a otkrili su je stručnjaci izraelske firme Astrix Security, koji su je prijavili Googleu 19. juna 2022. godine. Ovaj bag je otklonjen zakrpom koja je objavljena 7. aprila 2023.
Nakon što je aplikacija autorizovana i dobije OAuth token koji joj omogućava pristup Google nalogu, napadač može da iskoristi pomenutu ranjivost i sakrije zlonamernu aplikaciju sa Googleove stranice za upravljanje aplikacijama, jedinog mesta gde Google korisnici mogu da upravljaju aplikacijama povezanim sa njihovim nalozima.
„Pošto je ovo jedino mesto gde korisnici Googlea mogu da vide svoje aplikacije i da im opozovu pristup, eksploatacija čini da se zlonamerna aplikacija ne može ukloniti sa Google naloga“, rekao je Astrix Security. „Napadač sa druge strane, ako želi, može da otkrije aplikaciju i da koristi token da pristupi nalogu žrtve, a zatim brzo ponovo sakrije aplikaciju da bi je vratio u stanje kada se ne može ukloniti.“
Pošto je aplikacija potpuno sakrivena od žrtve, ona ne može znati da je njen nalog u opasnosti, a čak i ako sumnja u to, ne može da uradi ništa osim da kreira potpuno novi nalog.
Da bi sakrili zlonamerne aplikacije koje su autorizovale žrtve, napadači su morali samo da ih nateraju da uđu u stanje „na čekanju za brisanje“ brisanjem povezanog GCP projekta. Međutim, nakon obnavljanja projekta, dobili bi token za osvežavanje koji je omogućio preuzimanje novog tokena za pristup koji bi se mogao koristiti za pristup podacima žrtava.
Ovi koraci bi mogli da se ponavljaju beskonačno, omogućavajući napadačima da izbrišu i vrate GCP projekat kako bi sakrili zlonamernu aplikaciju svaki put kada im je potreban pristup podacima žrtve.
Uticaj napada zavisi od dozvola koje su date zlonamernim aplikacijama koje su instalirale žrtve.
Ranjivost „omogućava napadačima da dobiju trajni i neuklonjivi pristup Google nalogu žrtve konvertovanjem već autorizovane aplikacije treće strane u zlonamernu trojansku aplikaciju, ostavljajući lične podatke žrtve zauvek izloženim“, kažu istraživači.
„Ovo može uključivati podatke sačuvane u Google aplikacijama žrtve, kao što su Gmail, Disk, Dokumenti, Fotografije i Kalendar, ili usluge Google Cloud Platforme (BigQuery, Google Compute, itd.)“. Drugim rečima, napadači će moći da čitaju privatnu prepisku žrtve u Gmailu, da dobiju pristup njenim fajlovima na Google disku, ali i Google fotografijama, da imaju uvid u planirane događaje u Google kalendaru, da prate kretanje žrtve preko Google mapa itd.
U još gorim scenarijima, kada korisnici daju osetljive dozvole, napadači mogu da brišu fajlove sa Google diska, pišu mejlove sa Gmail naloga žrtve da bi izvršili napade društvenog inženjeringa, da ukradu osetljive podatke iz Google kalendara, fotografije ili dokumente i još mnogo toga.
Googleova zakrpa omogućava GCP OAuth aplikacijama u stanju „na čekanju za brisanje“ da se pojave na stranici „Aplikacije koje imaju pristup vašem nalogu“, omogućavajući korisnicima da ih uklone i zaštite svoje naloge od pokušaja otmice.
Astrix savetuje svim korisnicima Googlea da posete stranicu za upravljanje aplikacijama svog naloga i provere sve autorizovane aplikacije trećih strana, i da provere da svaka od njih ima samo dozvole koje su im potrebne za funkcionisanje.
