Google雲端出現漏洞 允許駭客隱藏惡意程式

編譯/鄭智懷

以色列資安公司Astrix指出,名為GhostToken的Google雲端漏洞使網路犯罪者入侵某一帳號後,可以透過程式管理頁面設定隱藏植入惡意程式的資訊,並且使受害者無法將其刪除,達到永遠感染帳號的目的。

示意圖:123RF

Astrix表示,GhostToken源自於OAuth的錯誤。當使用者在Google雲端上刪除檔案後,被刪除的檔案會進入為期30天的「待刪除」狀態。一般而言,在此狀態下的檔案就不會在程式管理頁面出現。但是,攻擊者可以透過恢復功能,重新獲得帳號持有人在首次授權程式執行時所取得的令牌,藉此登入並控制帳號。

因此,攻擊者可以更改程式管理設定,從而隱藏植入的惡意程式相關資訊。由於程式管理是用戶唯一可查詢並取消權限之處,受害者將因此無法得知帳號已經被控制;即使發現,也無法刪除惡意程式。唯一的解決方法就只有再辦一個新帳號。

報告指出,假使犯罪者透過GhostToken獲得受害者帳號的控制權,將可自由讀取後者Gmail的私人郵件、存取Google Drive 和 Google Photos的檔案、或是藉由日曆與定位等功能獲取行程安排,以及執行跟蹤活動。更嚴重的是還可以假冒受害者,利用其帳號與個人資料執行社會工程(Social Engineering)攻擊。

報告補充,攻擊者可能是在用戶不知情的情況下「通過Google Marketplace安裝表面看似無害的程式或線上工具」植入惡意軟體。

Astrix最後提到,在2022年6月19月發現並向Google通報GhostToken後,後者在2023年4月7日已經發布更新,修復該項漏洞。

資料來源:Astrix

瀏覽 858 次

覺得不錯的話就分享出去吧!

發佈留言

Back to top button