Ochrona posiadanego konta – niezależnie od tego, w jakim znajduje się serwisie – to priorytet dla każdego użytkownika. Gorzej jednak gdy mamy sytuację, w której najlepsze zabezpieczenia mogą okazać się nieskuteczne. Niestety – tak właśnie dzieje się teraz.
Google OAuth – tykająca bomba
Usługa internetowa OAuth to endpoint o nazwie “MultiLogin”, służący do przywracania cookies potwierdzających uwierzytelnianie, których ważność już się skończyła. Może to zabrzmieć nieco niezrozumiale, wyjaśnię więc najpierw, jak to działa – gdy użytkownik korzysta z sieci, na urządzeniu zapisywane są “ciasteczka” (na które często wyrażamy zgodę). W przypadku logowania się do usług Google’a, powstają takie, które zawierają informacje o danych podawanych przez użytkownika. Służą one jako identyfikator sesji i mają krótką datę ważności – są to tzw. “ciasteczka sesji”.
Wykryty przez badaczy z CloudSEK sposób polega na ich wykradzeniu, a następnie wykorzystaniu w celu zalogowania się na konto. Jak tego dokonują? Po prostu “przywracają ich ważność”. Nie ma przy tym znaczenia, czy użytkownik wylogował się z konta, zmienił do niego hasło czy też przelogował się na inne konto. Do pozyskiwania tych cookies używane są wyspecjalizowane malware jak Lumma czy Rhadamanthys, za pomocą których przeprowadzono w październiku i listopadzie b.r. kilka udanych ataków. CloudSEK zaprezentował nawet kod szkodników, w którym widać pozyskiwanie informacji z tokenów używanym przy sesyjnych cookies.
Czytaj też: Google alarmuje: natychmiast usuń te aplikacje z telefonu! Wykryto w nich malware
Co zatem robić, aby chronić konto? Niestety – Google milczy i nie odpowiada na pytania badaczy. A jak ustalił serwis Bleeping Computer, cyberprzestępcy sprzedają na czarnym rynku aż sześć narzędzi wyspecjalizowanych w tego typu działaniach. To bardzo niedobra informacja. Musimy czekać zatem cierpliwie, aż podatność zostanie zlikwidowana i mieć nadzieję, że nikt nie przejmie nam konta.
AKTUALIZACJA 03.01.2024
Google wreszcie skomentował sprawę. W oświadczeniu możemy przeczytać, że zdaje sobie sprawę z zagrożenia oraz sposobów jego działania. Nie jest to dla niego nowość i na bieżąco wprowadza rozwiązania mające ograniczyć skutki przejęcia kont. Podaje także, że można raz na zawsze unieważnić sesyjne ciasteczka, wylogowując się z przeglądarki. Zalecane jest także zwiększenie poziomu ochrony w Chrome poprzez włączenie w ustawieniach “Silniejszej ochrony”.
Producent deklaruje ciągłe monitorowanie sytuacji oraz prace nad całkowitym wyeliminowaniem tego sposobu przejmowania kont.
