Ошибка OAuth, обнаруженная в облачной платформе Google, потенциально позволяла злоумышленникам внедрить приложение в учетную запись жертвы, оставив ее навсегда и незаметно скомпрометированной.
Ошибка была обнаружена израильской службой безопасности Astrix, которая сообщила Google об обнаружении уязвимости нулевого дня в июле 2022 года.
Компания сообщила, что в начале этого месяца было выпущено исправление с подробным описанием уязвимости.
По словам Астрикс, если жертва была успешно скомпрометирована, злоумышленник мог установить вредоносное приложение, которое могло бы читать ее учетную запись Gmail, получать доступ к ее файлам и фотографиям, просматривать свой календарь и отслеживать местоположения на картах Google — в зависимости только от разрешений, предоставленных приложению.
Атака начнется со скомпрометированного файла в Google Marketplace, поясняется в сообщении.
Когда пользователь авторизует его для установки, приложение получает токен, предоставляющий ему доступ к учетной записи установщика с разрешениями, разрешенными пользователем.
Однако уязвимость GhostToken позволяет злоумышленнику затем скрыть приложение от пользователя.
«Используя уязвимость GhostToken, злоумышленники могут скрыть свое вредоносное приложение от страницы управления приложением учетной записи Google жертвы», — говорится в сообщении Astrix.
«Поскольку это единственное место, где пользователи Google могут видеть свои приложения и отменять доступ, эксплойт делает вредоносное приложение неудаляемым из учетной записи Google.
«Злоумышленник… может показать свое приложение и использовать токен для доступа к учетной записи жертвы, а затем быстро снова скрыть приложение, чтобы восстановить его неудаляемое состояние.
«Другими словами, злоумышленник имеет «призрачный» токен для учетной записи жертвы».
По словам Астрикс, Google признал уязвимость в августе 2022 года и 7 апреля выпустил глобальное обновление.
Оригинальная новость на сайте