Google je rešio problem sa ranjivošću Google Cloud Platforme (GCP) koja utiče na sve korisnike i omogućava napadačima da hakuju naloge koristeći aplikaciju instaliranu sa Google Marketplace-a ili nekog drugog veb-sajta, koju mogu promeniti tako da bude nevidiljiva i samim tim neuklonjiva, čime bi Google nalog žrtve bio zauvek zaražen trojanskom aplikacijom.

Ranjivost je nazvana GhostToken, a otkrili su je stručnjaci izraelske firme Astrix Security, koji su je prijavili Googleu 19. juna 2022. godine. Ovaj bag je otklonjen zakrpom koja je objavljena 7. aprila 2023.

Nakon što je aplikacija autorizovana i dobije OAuth token koji joj omogućava pristup Google nalogu, napadač može da iskoristi pomenutu ranjivost i sakrije zlonamernu aplikaciju sa Googleove stranice za upravljanje aplikacijama, jedinog mesta gde Google korisnici mogu da upravljaju aplikacijama povezanim sa njihovim nalozima.

„Pošto je ovo jedino mesto gde korisnici Googlea mogu da vide svoje aplikacije i da im opozovu pristup, eksploatacija čini da se zlonamerna aplikacija ne može ukloniti sa Google naloga“, rekao je Astrix Security. „Napadač sa druge strane, ako želi, može da otkrije aplikaciju i da koristi token da pristupi nalogu žrtve, a zatim brzo ponovo sakrije aplikaciju da bi je vratio u stanje kada se ne može ukloniti.“

Pošto je aplikacija potpuno sakrivena od žrtve, ona ne može znati da je njen nalog u opasnosti, a čak i ako sumnja u to, ne može da uradi ništa osim da kreira potpuno novi nalog.

Da bi sakrili zlonamerne aplikacije koje su autorizovale žrtve, napadači su morali samo da ih nateraju da uđu u stanje „na čekanju za brisanje“ brisanjem povezanog GCP projekta. Međutim, nakon obnavljanja projekta, dobili bi token za osvežavanje koji je omogućio preuzimanje novog tokena za pristup koji bi se mogao koristiti za pristup podacima žrtava.

Ovi koraci bi mogli da se ponavljaju beskonačno, omogućavajući napadačima da izbrišu i vrate GCP projekat kako bi sakrili zlonamernu aplikaciju svaki put kada im je potreban pristup podacima žrtve.

Uticaj napada zavisi od dozvola koje su date zlonamernim aplikacijama koje su instalirale žrtve.

Ranjivost „omogućava napadačima da dobiju trajni i neuklonjivi pristup Google nalogu žrtve konvertovanjem već autorizovane aplikacije treće strane u zlonamernu trojansku aplikaciju, ostavljajući lične podatke žrtve zauvek izloženim“, kažu istraživači.

„Ovo može uključivati podatke sačuvane u Google aplikacijama žrtve, kao što su Gmail, Disk, Dokumenti, Fotografije i Kalendar, ili usluge Google Cloud Platforme (BigQuery, Google Compute, itd.)“. Drugim rečima, napadači će moći da čitaju privatnu prepisku žrtve u Gmailu, da dobiju pristup njenim fajlovima na Google disku, ali i Google fotografijama, da imaju uvid u planirane događaje u Google kalendaru, da prate kretanje žrtve preko Google mapa itd.

U još gorim scenarijima, kada korisnici daju osetljive dozvole, napadači mogu da brišu fajlove sa Google diska, pišu mejlove sa Gmail naloga žrtve da bi izvršili napade društvenog inženjeringa, da ukradu osetljive podatke iz Google kalendara, fotografije ili dokumente i još mnogo toga.

Googleova zakrpa omogućava GCP OAuth aplikacijama u stanju „na čekanju za brisanje“ da se pojave na stranici „Aplikacije koje imaju pristup vašem nalogu“, omogućavajući korisnicima da ih uklone i zaštite svoje naloge od pokušaja otmice.

Astrix savetuje svim korisnicima Googlea da posete stranicu za upravljanje aplikacijama svog naloga i provere sve autorizovane aplikacije trećih strana, i da provere da svaka od njih ima samo dozvole koje su im potrebne za funkcionisanje.

The post Evo kako hakeri mogu zaraziti vaš Google nalog trojanskom aplikacijom koju nećete moći da uklonite appeared first on Social Emotion.

Naime, u Registru poreskih punomoćnika stranih lica obveznika PDV-a, pod 8. novembra 2021. godine kao poreski punomoćnik za Google Cloud EMEA Limited i Google Commerce Limited upisan je Deloitte doo Beograd.

U skladu sa tim, ispunjeni su uslovi da se na usluge Google Cloud EMEA Limited obračunava i naplaćuje PDV po stopi od 20%. Ovaj posao će u ime Google servisa obavljati Deloitte doo Beograd, kao njihov poreski punomoćnik.

Korisnici ovih servisa ne treba nadalje da vrše interni obračun PDV-a, a PDV koji bude iskazan u računima moći će da odbiju (ukoliko ispunjavaju propisane uslove).

Osim toga, korisnici su informisani da će im biti priznat avans u iznosu PDV-a koji su eventualno platili po osnovu Google faktura izdatih između 15. juna 2021. i 31. oktobra 2021. godine, s obzirom da Google u ovom periodu nije imao registrovanog poreskog punomoćnika, te nije postojao osnov da se ovaj PDV naplati od korisnika.

U mejlu se navodi da će avans biti priznat automatski, te da korisnici ne treba ništa da preduzimaju po tom pitanju. Ostaje pitanje da li će Google izdati ispravke pogrešno izdatih računa iz spornog perioda ili eventualno knjižna odobrenja, kako bi korisnici mogli da proknjiže korekcije zaduženja u svojim poslovnim knjigama.

Izvor: Nova S

The post Google je registrovan u sistemu PDV-a, a cene usluga biće 20 odsto veće appeared first on Social Emotion.