Redazione RHC : 24 Aprile 2023 12:07
Una società di sicurezza informatica israeliana, Astrix’s Security Research Group, ha scoperto una vulnerabilità di 0-day nella piattaforma cloud di Google (GCP) soprannominata Ghosttoken il 19 giugno 2022, che ha un impatto su tutti gli utenti di Google.
La vulnerabilità “GhostToken” potrebbe consentire agli attori delle minacce di rendere un’applicazione dannosa “invisibile e inamovibile”, rendendo l’account Google della vittima permanentemente infettato da un’app trojan.
Il 7 aprile 2023, Google ha rilasciato una patch per la vulnerabilità GhostToken. Le app dannose potrebbero essere rese invisibili dagli aggressori dopo essere state autorizzate e collegate a un token OAuth che garantisce loro l’accesso all’account Google.
Distribuisci i nostri corsi di formazione diventando un nostro Affiliato
Se sei un influencer, gestisci una community, un blog, un profilo social o semplicemente hai tanta voglia di diffondere cultura digitale e cybersecurity, questo è il momento perfetto per collaborare con RHC Academy. Unisciti al nostro Affiliate Program: potrai promuovere i nostri corsi online e guadagnare provvigioni ad ogni corso venduto. Fai parte del cambiamento. Diffondi conoscenza, costruisci fiducia, genera valore.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
L’exploit rende l’app dannosa inamovibile dall’account Google. Quindi, l’attaccante detiene un token “fantasma” sull’account della vittima. “Poiché questo è l’unico posto in cui gli utenti di Google possono vedere le loro applicazioni e revocare il loro accesso, l’exploit rende l’app dannosa inamovibile dall’account Google”, hanno affermato i ricercatori. “Poiché l’applicazione è completamente nascosta alla vista della vittima, in primo luogo viene impedito loro persino di sapere che il proprio account è a rischio e, anche se lo sospettano, non possono fare altro che creare un nuovo account Google”.
I ricercatori affermano che gli aggressori potrebbero essere in grado di leggere i messaggi Gmail privati della vittima, accedere ai propri file su Google Drive e Google Foto, visualizzare gli eventi imminenti sul proprio calendario Google, trovarli utilizzando Google Maps e dare accesso ai servizi della piattaforma Google Cloud della vittima a seconda le autorizzazioni che le vittime concedono all’app dannosa.
Nella peggiore delle ipotesi, gli aggressori potrebbero essere in grado di rimuovere file da Google Drive, inviare e-mail dall’account Gmail della vittima per intraprendere attacchi di ingegneria sociale, rubare dati sensibili da Google Calendar, Foto o Documenti e altro ancora.
In particolare, gli aggressori devono semplicemente eliminare il progetto GCP associato per mettere le applicazioni dannose autorizzate dalle vittime in uno stato di “eliminazione in attesa” per nasconderle. Tuttavia, dopo il ripristino del progetto, verrà fornito loro un token di aggiornamento per recuperare un nuovo token di accesso per accedere ai dati delle vittime.
Queste azioni possono essere eseguite all’infinito, consentendo agli aggressori di eliminare e ripristinare il progetto GCP ogni volta che richiedono l’accesso ai dati della vittima per nascondere l’app dannosa.
Con l’aiuto della patch di Google, le applicazioni GCP OAuth nello stato “in attesa di eliminazione” possono essere rimosse dagli utenti dalla pagina “App con accesso al tuo account”, impedendo così i tentativi di acquisizione dell’account.
Astrix consiglia agli utenti di Google di controllare tutte le app di terze parti autorizzate nella “pagina di gestione delle app dell’account” per assicurarsi che dispongano solo delle autorizzazioni necessarie per funzionare.
“Nel mondo odierno di attacchi comuni, scenari di minaccia complicati e superfici di attacco aumentate in modo esponenziale, i controlli di sicurezza di routine che eliminano qualsiasi accesso di terze parti non necessario, inutilizzato o con privilegi eccessivi devono anche cercare vulnerabilità simili a GhostToken”, affermano i ricercatori.
RedazioneI ricercatori di Huntress hanno rilevato lo sfruttamento attivo di una vulnerabilità critica in Wing FTP Server, appena un giorno dopo la sua divulgazione pubblica. La vulnerabilità CVE-2025...
Secondo Trellix, il gruppo DoNot APT ha recentemente condotto una campagna di spionaggio informatico in più fasi, prendendo di mira il Ministero degli Affari Esteri italiano. Il gruppo, attribuit...
È stata scoperta una vulnerabilità critica di tipo double free nel modulo pipapo set del sottosistema NFT del kernel Linux. Un aggressore senza privilegi può sfruttare questa vulne...
Negli ultimi mesi, due episodi inquietanti hanno scosso l’opinione pubblica e il settore della sicurezza informatica italiana. Il primo ha riguardato un ospedale italiano, violato nel suo cuore...
In questi giorni, sul noto forum underground exploit.in, attualmente chiuso e accessibile solo su invito – sono stati messi in vendita degli exploit per una vulnerabilità di tipo 0day che ...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
