GhostToken 漏洞导致恶意应用隐藏在谷歌云平台中

网络安全研究员披露了谷歌云平台 (GCP) 中一个已修复 0day 的详情。该漏洞可导致攻击者在受害者的谷歌账户中披露不可删除的恶意应用程序。以色列安全公司Astrix Security 将该漏洞称为 “GhostToken”。

该漏洞影响所有谷歌账户，包括专注于企业的 Workspace 账户。研究人员在2022年6月19日发现并报告了该漏洞，9个多月后，谷歌在2023年4月7日发布全局补丁。

Astrix 公司在报告中指出，“该漏洞可导致攻击者通过将已授权的第三方应用转换为恶意木马应用的方式，获得对受害者谷歌账户不可删除的访问权限，从而导致受害者的个人数据永远遭暴露。”简言之，该漏洞可导致攻击者从受害者的谷歌账户应用管理页面隐藏恶意应用，从而阻止用户删除其访问权限。

攻击者可删除与越权 OAuth 应用程序关联的 GCP 项目，导致其处于“即将删除”的状态。攻击者通过这种能力恢复该项目使恶意应用程序可用，并通过访问令牌获取受害者的数据并再次使其不可用。Astrix 公司指出，“换句话说，攻击者具有对受害者账户的‘幽灵’令牌”。

可被访问的这类数据取决于该 app 给出的权限，而攻击者可利用这一点从 Google Drive 删除文件、代表受害者编写邮件执行社工攻击、追踪位置并从谷歌Calendar、Drive、Photos 和其它应用中提取敏感数据。报告提到，“受害者可能在不知情的情况下，从谷歌 Marketplace 或其他很多网络工具安装看似无害的 app并获得对它的访问权限。一旦该恶意 app 获得授权，攻击者即可利用该漏洞绕过谷歌的 ‘具有访问账户权限的Apps’管理特性，而这是谷歌用户可查看与其账户相关联的第三方应用的唯一地方。”

谷歌发布补丁修复该漏洞，并在第三方访问页面展示正处于被删除状态的应用，使用户可撤销对这类应用的权限。

谷歌云不久前修复了位于 Cloud Asset Inventory API 中的提权漏洞，该漏洞可用于窃取由用户管理的 Service Account 私钥并获得对有价值数据的访问权限。该漏洞是由 SADA 公司在二月初发现的，在3月14日已得到修复。更早时候，云事件响应公司 Mitiga 披露称攻击者可利用对GCP“不充分的”取证可见性提取敏感数据。