Google, tüm kullanıcıları etkileyen ve saldırganların Google Marketplace’ten veya üçüncü taraf sağlayıcılardan yüklenen kötü amaçlı OAuth uygulamalarını kullanarak hesaplarına arka kapı girmesine olanak tanıyan bir Bulut Platformu (GCP) güvenlik açığını gidermiştir.
Adlandırılmış Hayalet Jetonu Haziran 2022’de bunu bulup Google’a bildiren İsrailli siber güvenlik girişimi Astrix Security tarafından hazırlanan bu güvenlik açığı, Nisan 2023’ün başlarında kullanıma sunulan küresel bir yama aracılığıyla giderildi.
Yetkilendirildikten ve Google hesabına erişmesini sağlayan bir OAuth jetonuna bağlandıktan sonra, kötü amaçlı uygulamalar bu güvenlik açığından yararlandıktan sonra saldırganlar tarafından görünmez hale getirilebilir.
Bu, uygulamayı, Google kullanıcılarının hesaplarına bağlı uygulamaları yönetebilecekleri tek yer olan Google’ın uygulama yönetimi sayfasından gizler.
Astrix Security, “Google kullanıcılarının uygulamalarını görebilecekleri ve erişimlerini iptal edebilecekleri tek yer burası olduğundan, istismar, kötü amaçlı uygulamayı Google hesabından kaldırılamaz hale getiriyor” dedi.
“Öte yandan saldırgan, dilediği gibi, uygulamasını gösterip kurbanın hesabına erişmek için belirteci kullanabilir ve ardından kaldırılamaz durumunu geri yüklemek için uygulamayı hızla tekrar gizleyebilir. Diğer bir deyişle, saldırgan bir ‘hayalet’ tutar. kurbanın hesabına jeton.”
Saldırganların kurbanlar tarafından yetkilendirilen kötü amaçlı uygulamaları gizlemek için yalnızca bağlantılı GCP projesini silerek onları “silinmeyi bekliyor” durumuna sokması yeterliydi.
Bununla birlikte, proje geri yüklendikten sonra, kurbanların verilerine erişim elde etmek için kullanılabilecek yeni bir erişim belirtecini almayı mümkün kılan bir yenileme belirteci sağlanacaktı.
Bu adımlar bir döngü içinde tekrarlanarak saldırganların kurbanın verilerine her erişmeleri gerektiğinde kötü amaçlı uygulamayı gizlemek için GCP projesini silmesine ve geri yüklemesine olanak tanır.
Saldırının etkisi, kurbanlar tarafından yüklenen kötü amaçlı uygulamalara verilen izinlere bağlıdır.
Astrix Security Research Group, güvenlik açığının “saldırganların zaten yetkilendirilmiş bir üçüncü taraf uygulamasını kötü amaçlı bir trojan uygulamasına dönüştürerek kurbanın Google hesabına kalıcı ve kaldırılamaz erişim elde etmesine olanak tanıdığını ve kurbanın kişisel verilerini sonsuza kadar açığa çıkardığını” söyledi.
“Bu, kurbanın Gmail, Drive, Docs, Photos ve Calendar gibi Google uygulamalarında veya Google Cloud Platform hizmetlerinde (BigQuery, Google Compute, vb.) depolanan verileri içerebilir.”
Google’ın yaması, “silinmeyi bekleyen” durumdaki GCP OAuth uygulamalarının “Hesabınıza erişimi olan uygulamalar” sayfasında görünmesini sağlayarak kullanıcıların bunları kaldırmasına ve hesaplarını ele geçirme girişimlerinden korumasına olanak tanır.
Astrix, tüm Google kullanıcılarına hesaplarının uygulama yönetimi sayfasını ziyaret etmelerini ve tüm yetkili üçüncü taraf uygulamalarını kontrol etmelerini tavsiye ederek, her birinin yalnızca çalışması için gereken izinlere sahip olduğundan emin olur.