谷歌OAuth验证系统曝漏洞,恶意软件能够用以窃取Google帐户

admin 2024年1月4日19:51:57评论25 views字数 1197阅读3分59秒阅读模式
CloudSEK的威胁研究团队最近发现,Telegram频道上有人披露了关于Google帐户的一个漏洞,该漏洞允许恶意软件恢复已过期的身份验证Cookie,并将之用于登录受害者的 Google帐户。
在网络上使用的各种浏览器Cookie中,会话Cookie尤为特殊,其中包含身份验证信息。像用户打开浏览器时能够直接访问以前登录过的网站,就是使用会话Cookie完成的。出于安全方面的考虑,通常这类Cookie被设计为只具有短暂的生命周期,以防止被不当利用。
谷歌OAuth验证系统曝漏洞,恶意软件能够用以窃取Google帐户

该漏洞利用技术最初是于2023年10月20日由一个名为PRISMA的黑客在其Telegram频道上披露。此后,该项技术迅速被整合到各种恶意软件即服务(MaaS)信息窃取家族中,如Lumma、Rhadamanthys、Stealc、Meduza、RisePro和WhiteSnake。

2023年11 月,Lumma和Rhadamanthys信息窃取恶意软件的网络犯罪分子声称,他们能够恢复在网络攻击中窃取的已过期的Google身份验证Cookie,有了这些Cookie,他们能够在用户注销、重置密码或其会话已过期后未经授权地访问其Google 帐户。

网络安全公司CloudSEK在一份研究报告中具体说明了黑客是如何利用该新0day的。CloudSEK对这个漏洞进行了反向工程,发现它使用了一个名为MultiLogin的未记录的 Google OAuth端点(用于在多个不同的Google服务之间同步帐户)。

通过滥用这个端点,信息窃取恶意软件能够从已登录到Google帐户的Chrome配置文件中提取令牌和帐户 ID。在这些窃取的信息中,有两个关键的数据:GAIA ID和加密令牌。这些加密令牌使用存储在Chrome的“本地状态”文件中的加密密钥进行解密。通过使用窃取的令牌和Google的MultiLogin端点,黑客可以重新生成已过期的Google服务Cookie,并持续访问被攻陷的帐户。

对于此事,谷歌官方回应道:“Google已知悉最近有恶意软件家族窃取会话令牌的报告。涉及恶意软件窃取Cookie和令牌的攻击并不新鲜;我们经常升级我们的防御措施来抵御这类技术,以保护成为恶意软件受害者的用户。在这种情况下,Google已经采取行动来保护任何被发现受到影响的帐户。”

“然而,重要的是要注意报告中存在的一个误解——被盗的令牌和cookie不能被用户撤销。这是不正确的,因为被盗的会话可以通过简单地注销受影响的浏览器,或者通过用户设备页面远程撤销。我们将继续监控情况,并根据需要提供更新。”

谷歌另外还建议用户在Chrome中启用增强安全浏览,以防范网络钓鱼和恶意软件下载。

编辑:左右里

资讯来源:CloudSEK、Cybernews

转载请注明出处和本文链接

原文始发于微信公众号(看雪学苑):谷歌OAuth验证系统曝漏洞,恶意软件能够用以窃取Google帐户

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年1月4日19:51:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   谷歌OAuth验证系统曝漏洞,恶意软件能够用以窃取Google帐户https://cn-sec.com/archives/2364951.html

发表评论

匿名网友 填写信息