Google雲端出現漏洞　允許駭客隱藏惡意程式

編譯／鄭智懷

以色列資安公司Astrix指出，名為GhostToken的Google雲端漏洞使網路犯罪者入侵某一帳號後，可以透過程式管理頁面設定隱藏植入惡意程式的資訊，並且使受害者無法將其刪除，達到永遠感染帳號的目的。

Astrix表示，GhostToken源自於OAuth的錯誤。當使用者在Google雲端上刪除檔案後，被刪除的檔案會進入為期30天的「待刪除」狀態。一般而言，在此狀態下的檔案就不會在程式管理頁面出現。但是，攻擊者可以透過恢復功能，重新獲得帳號持有人在首次授權程式執行時所取得的令牌，藉此登入並控制帳號。

因此，攻擊者可以更改程式管理設定，從而隱藏植入的惡意程式相關資訊。由於程式管理是用戶唯一可查詢並取消權限之處，受害者將因此無法得知帳號已經被控制；即使發現，也無法刪除惡意程式。唯一的解決方法就只有再辦一個新帳號。

報告指出，假使犯罪者透過GhostToken獲得受害者帳號的控制權，將可自由讀取後者Gmail的私人郵件、存取Google Drive 和 Google Photos的檔案、或是藉由日曆與定位等功能獲取行程安排，以及執行跟蹤活動。更嚴重的是還可以假冒受害者，利用其帳號與個人資料執行社會工程（Social Engineering）攻擊。

報告補充，攻擊者可能是在用戶不知情的情況下「通過Google Marketplace安裝表面看似無害的程式或線上工具」植入惡意軟體。

Astrix最後提到，在2022年6月19月發現並向Google通報GhostToken後，後者在2023年4月7日已經發布更新，修復該項漏洞。

資料來源：Astrix

瀏覽 739 次