Непобедимое кибероружие: аккаунты Google могут взломать и смена паролей бесполезна
Хакер PRISMA розробив складне рішення для створення постійних файлів cookie Google за допомогою маніпулювання токенами.
Хакер знайшов спосіб, як використовувати функціональність протоколу авторизації OAuth2 для компрометації облікових записів Google, незважаючи на скидання IP-адреси або пароля. Про нову вразливість, виявлену експертами у сфері кібербезпеки з компанії CloudSEK, розповідає Cyber news.
Хакер із нікнеймом PRISMA розробив складне рішення для створення постійних файлів cookie Google за допомогою маніпулювання токенами. Ця лазівка забезпечує постійний доступ до сервісів Google навіть після скидання пароля.
Для захисту та авторизації доступу до різних інтернет-ресурсів і перевірки особи користувача, застосовується протокол OAuth 2.0, який запитує дані з сервісів Google або з соцмережі Facebook. Також протокол задіюється, коли необхідна синхронізація облікових записів Google. Саму синхронізацію забезпечує механізм MultiLogin, що гарантує відповідність станів облікових записів cookie-файлам аутентифікації Google. Вразливість, "зашита" в ПЗ Lumma Infostealer, здатна забезпечити збереження сеансу і генерацію файлів cookie. Щоб вкрасти необхідні дані, токени та ідентифікатори облікових записів, шкідлива програма атакує таблицю Chrome token_service, що містить дані всіх профілів, які використовують Chrome.
"Сеанс не переривається, навіть якщо користувач змінить пароль облікового запису, а експлойт увесь цей час генерує файли cookie, що дає змогу продовжити час несанкціонованого доступу", — ідеться у звіті CloudSEK.
ВажливоДослідники наголосили й на тому, що шкідливе ПЗ маскує механізми роботи експлойта, використовуючи спеціальний шифр. Вони підкреслили, що хакеру вдалося розібратися в тому, як працюють внутрішні механізми автентифікації Google, і в підсумку він знайшов спосіб обійти всі заходи безпеки. Фахівців також турбує, що ця "лазівка" залишається ефективною навіть після того, як користувачі скинули свої паролі. Хакери зможуть використовувати облікові записи жертв у своїх цілях стільки, скільки забажають, а користувач навіть нічого не помітить.
Раніше ми писали про те, що Google і Meta "поповнили" бюджет Росії на 31 млрд рублів, що еквівалентно 341 млн доларів США. Їх звинуватили у фейках проти "СВО" і ЛГБТ-пропаганді.