گوگل به تازگی آسیب پذیری امنیتی GhostToken در پلتفرم ابری (GCP) را که به هکران اجازه میدهد با استفاده از برنامههای مخرب OAuth، به حساب کاربران دسترسی پیدا کنند، برطرف کرده است.
به گزارش تکناک، آسیب پذیری GhostToken توسط شرکت Astrix Security، یک استارتاپ امنیتی سایبری، در ماه ژوئن سال 2022 کشف و به گوگل گزارش شده بود، توسط این شرکت نامگذاری شده است. این نقص امنیتی با به کارگیری از یک وصله جهانی که در ابتدای آوریل 2023 اعمال شده بود، برطرف شد.
پس از اینکه برنامههای مخرب، مجوز و ارتباط با یک توکن OAuth که به آنها دسترسی به حساب گوگل را میدهد، به دست بیاورند، مهاجمان میتوانند با بهرهگیری از این آسیبپذیری، قابلیت نامرئی کردن برنامههای مخرب را برای کاربران خود فراهم کنند.
این کار باعث میشود که برنامه مخرب از صفحه مدیریت برنامههای گوگل که تنها مکانی است که کاربران گوگل میتوانند برنامههای متصل به حسابهای خود را مدیریت کنند، پنهان شود.
گروه تحقیقات امنیتی Astrix Security گفت: از آنجایی که اینجا، تنها مکانی است که کاربران گوگل میتوانند برنامههای خود را مشاهده و دسترسی آنها را لغو کنند، این آسیبپذیری باعث میشود که برنامههای مخرب از حساب گوگل قابل حذف نباشند.
از سوی دیگر، مهاجم میتواند هر زمان که بخواهد برنامه مخرب خود را نمایان کند و با استفاده از توکن به حساب قربانی دسترسی پیدا کند و سپس به سرعت برنامه را دوباره پنهان کند تا وضعیت غیرقابل حذف آن برگردد. به عبارت دیگر، مهاجم، یک توکن “شبح” را در حساب قربانی نگه میدارد.
مهاجمان برای پنهان کردن برنامههای مخرب که توسط قربانیان مجوز داده شده است، فقط باید با حذف پروژه GCP لینک شده، آنها را وارد وضعیت “حذف در انتظار” کنند.
با این حال، پس از بازیابی پروژه، یک توکن بروزرسانی شده، در اختیار آنها قرار میگیرد که امکان بازیابی یک توکن دسترسی جدید را فراهم میکند که میتوان از آن برای دسترسی به دادههای قربانیان استفاده کرد.
این مراحل میتوانند در یک حلقه تکرار شوند و به مهاجمان اجازه میدهند پروژه GCP را حذف و بازیابی کنند تا هر بار که نیاز به استفاده از دادههای قربانی داشتند، برنامه مخرب را پنهان کنند.
تأثیر حمله، به مجوز هایی بستگی دارد که به برنامههای مخرب نصب شده توسط قربانیان اعطاء شده است.
گروه تحقیقات امنیتی Astrix Security گفت: آسیب پذیری GhostToken به مهاجمان اجازه میدهد تا با تبدیل یک برنامه شخص ثالث، دسترسی دائم و غیرقابل حذف به حساب Google قربانی داشته باشند و اطلاعات شخصی قربانی را برای همیشه در معرض دید قرار دهند. این ممکن است شامل دادههای ذخیرهشده در برنامههای Google قربانی، مانند Gmail، Drive، Docs، Photos، و Calendar یا سرویسهای Google Cloud Platform (BigQuery، Google Compute و غیره) شود.
وصله Google به برنامههای GCP OAuth در حالتهای “در انتظار حذف” اجازه میدهد در صفحه “برنامههای دارای دسترسی به حساب شما” ظاهر شوند و به کاربران این امکان را میدهد که آنها را حذف کرده و از حسابهای خود در برابر تلاشهای هک محافظت کنند.
Astrix به همه کاربران Google توصیه می کند که از صفحه مدیریت حساب خود، بازدید و همه برنامه های شخص ثالث مجاز را بررسی کنند و مطمئن شوند که هر یک از آنها فقط دارای مجوزهایی ضروری برای عملکردشان هستند.
