GhostToken: tutti gli account Google possono essere compromessi con un nuovo bug 0-day

Una società di sicurezza informatica israeliana, Astrix’s Security Research Group, ha scoperto una vulnerabilità di 0-day nella piattaforma cloud di Google (GCP) soprannominata Ghosttoken il 19 giugno 2022, che ha un impatto su tutti gli utenti di Google.

La vulnerabilità “GhostToken” potrebbe consentire agli attori delle minacce di rendere un’applicazione dannosa “invisibile e inamovibile”, rendendo l’account Google della vittima permanentemente infettato da un’app trojan. 

Il 7 aprile 2023, Google ha rilasciato una patch per la vulnerabilità GhostToken. Le app dannose potrebbero essere rese invisibili dagli aggressori dopo essere state autorizzate e collegate a un token OAuth che garantisce loro l’accesso all’account Google.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

L’exploit rende l’app dannosa inamovibile dall’account Google. Quindi, l’attaccante detiene un token “fantasma” sull’account della vittima. “Poiché questo è l’unico posto in cui gli utenti di Google possono vedere le loro applicazioni e revocare il loro accesso, l’exploit rende l’app dannosa inamovibile dall’account Google”, hanno affermato i ricercatori. “Poiché l’applicazione è completamente nascosta alla vista della vittima, in primo luogo viene impedito loro persino di sapere che il proprio account è a rischio e, anche se lo sospettano, non possono fare altro che creare un nuovo account Google”.

I ricercatori affermano che gli aggressori potrebbero essere in grado di leggere i messaggi Gmail privati ​​della vittima, accedere ai propri file su Google Drive e Google Foto, visualizzare gli eventi imminenti sul proprio calendario Google, trovarli utilizzando Google Maps e dare accesso ai servizi della piattaforma Google Cloud della vittima a seconda le autorizzazioni che le vittime concedono all’app dannosa.  

Nella peggiore delle ipotesi, gli aggressori potrebbero essere in grado di rimuovere file da Google Drive, inviare e-mail dall’account Gmail della vittima per intraprendere attacchi di ingegneria sociale, rubare dati sensibili da Google Calendar, Foto o Documenti e altro ancora.

In particolare, gli aggressori devono semplicemente eliminare il progetto GCP associato per mettere le applicazioni dannose autorizzate dalle vittime in uno stato di “eliminazione in attesa” per nasconderle. Tuttavia, dopo il ripristino del progetto, verrà fornito loro un token di aggiornamento per recuperare un nuovo token di accesso per accedere ai dati delle vittime.

Queste azioni possono essere eseguite all’infinito, consentendo agli aggressori di eliminare e ripristinare il progetto GCP ogni volta che richiedono l’accesso ai dati della vittima per nascondere l’app dannosa.

Con l’aiuto della patch di Google, le applicazioni GCP OAuth nello stato “in attesa di eliminazione” possono essere rimosse dagli utenti dalla pagina “App con accesso al tuo account”, impedendo così i tentativi di acquisizione dell’account.

Astrix consiglia agli utenti di Google di controllare tutte le app di terze parti autorizzate nella “pagina di gestione delle app dell’account” per assicurarsi che dispongano solo delle autorizzazioni necessarie per funzionare.

“Nel mondo odierno di attacchi comuni, scenari di minaccia complicati e superfici di attacco aumentate in modo esponenziale, i controlli di sicurezza di routine che eliminano qualsiasi accesso di terze parti non necessario, inutilizzato o con privilegi eccessivi devono anche cercare vulnerabilità simili a GhostToken”, affermano i ricercatori.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.