Google’ın Bulut Platformunda keşfedilen bir OAuth hatası, potansiyel olarak saldırganların bir kurbanın hesabına bir uygulama yerleştirmesine izin vererek hesabın kalıcı ve tespit edilemeyecek şekilde tehlikeye girmesine neden oldu.
Hata, Google’a sıfır gün güvenlik açığını Temmuz 2022’de keşfettiğini bildiren İsrailli bir güvenlik birimi olan Astrix tarafından keşfedildi.
Şirket, güvenlik açığını ayrıntılarıyla açıklayan bir düzeltmenin bu ayın başlarında gönderildiğini söyledi.
Astrix, bir kurbanın güvenliğinin başarıyla aşılması durumunda, yalnızca uygulamaya verilen izinlere bağlı olarak, bir saldırganın kötü amaçlı bir uygulama yerleştirebileceğini, Gmail hesaplarını okuyabileceğini, dosyalarına ve fotoğraflarına erişebileceğini, takvimlerini görüntüleyebileceğini ve Google haritalarındaki konumları izleyebileceğini söyledi.
Yayında, bir saldırının Google Marketplace’teki güvenliği ihlal edilmiş bir dosyayla başlayacağı açıklandı.
Bir kullanıcı onu kurulum için yetkilendirdiğinde, uygulama, kullanıcı tarafından yetkilendirilen izinlerle yükleyicinin hesabına erişim sağlayan bir belirteç alır.
Ancak GhostToken güvenlik açığı, saldırganın uygulamayı kullanıcıdan gizlemesine izin verir.
Astrix’in gönderisinde, “Saldırganlar, GhostToken güvenlik açığından yararlanarak, kötü amaçlı uygulamalarını kurbanın Google hesap uygulama yönetimi sayfasından gizleyebilirler” iddiasında bulundu.
“Google kullanıcılarının uygulamalarını görebilecekleri ve erişimlerini iptal edebilecekleri tek yer burası olduğundan, istismar, kötü amaçlı uygulamayı Google hesabından kaldırılamaz hale getiriyor.
“Saldırgan … uygulamasını gösterebilir ve kurbanın hesabına erişmek için belirteci kullanabilir ve ardından kaldırılamaz durumunu geri yüklemek için uygulamayı hızla tekrar gizleyebilir.
“Başka bir deyişle, saldırgan, kurbanın hesabında bir ‘hayalet’ jeton tutuyor.”
Astrix, Google’ın Ağustos 2022’de güvenlik açığını kabul ettiğini ve 7 Nisan’da küresel bir güncelleme yaptığını söyledi.