O Google abordou uma vulnerabilidade de segurança da plataforma Cloud (GCP) que afetava todos os usuários e permitia que os atacantes backdoor seus contas usando aplicativos OAuth maliciosos instalados do Google Marketplace ou fornecedores terceirizados.
Nomeado GhostToken pela Astrix Security, a startup de segurança de Israel que a encontrou e reportou ao Google em junho de 2022, essa falha de segurança foi solucionada por meio de um patch global que foi lançado no início de abril de 2023.
Depois de autorizados e vinculados a um token OAuth que dá acesso à conta do Google, os aplicativos maliciosos poderiam ser tornados invisíveis pelos atacantes após explorar essa vulnerabilidade.
Isso esconderia o aplicativo da página de gerenciamento de aplicativos do Google, o único lugar onde os usuários do Google podem gerenciar aplicativos conectados às suas contas.
"Já que este é o único lugar onde os usuários do Google podem ver seus aplicativos e revogar seu acesso, o exploit torna o aplicativo malicioso não removível da conta do Google", disse a Astrix Security.
"O atacante, por outro lado, pode desocultar seu aplicativo e usar o token para acessar a conta da vítima e, em seguida, ocultar rapidamente o aplicativo novamente para restaurar seu estado não removível.
Em outras palavras, o atacante detém um token 'fantasma' para a conta da vítima".
Para esconder aplicativos maliciosos autorizados pelas vítimas, os atacantes só precisavam fazê-los entrar em um estado de "exclusão pendente" excluindo o projeto GCP vinculado.
No entanto, após restaurar o projeto, eles seriam fornecidos com um token de atualização que tornava possível recuperar um novo token de acesso que poderia ser usado para obter acesso aos dados das vítimas.
Essas etapas poderiam ser repetidas em loop, permitindo que os atacantes excluíssem e restaurassem o projeto GCP para ocultar o aplicativo malicioso cada vez que precisavam de acesso aos dados da vítima.
O impacto do ataque depende das permissões concedidas aos aplicativos maliciosos instalados pelas vítimas.
A vulnerabilidade "permite que os atacantes ganhem acesso permanente e não removível à conta do Google de uma vítima, convertendo um aplicativo de terceiros já autorizado em um aplicativo Trojan malicioso, deixando os dados pessoais da vítima expostos para sempre", disse o Astrix Security Research Group.
"Isso pode incluir dados armazenados em aplicativos do Google da vítima, como Gmail, Drive, Docs, Fotos e Calendário, ou serviços da plataforma Google Cloud (BigQuery, Google Compute etc.)".
O patch do Google permite que os aplicativos OAuth do GCP em estados de "exclusão pendente" apareçam na página "Aplicativos com acesso à sua conta", permitindo que os usuários os removam e protejam suas contas contra tentativas de sequestro.
A Astrix aconselha todos os usuários do Google a visitarem a página de gerenciamento de aplicativos de suas contas e verificarem todos os aplicativos de terceiros autorizados, garantindo que cada um deles tenha apenas as permissões necessárias para funcionar.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...