Hakerzy złamali zabezpieczenia Google. Włamują się bez użycia hasła, reset nie pomaga
Dane uwierzytelniania do konta Google do jedne z najbardziej wrażliwych danych. Za jednym zamachem uzyskać można ogrom danych, choćby z samego Gmaila, które pozwalają na dalsze włamania. Niestety wykryto nową aktywność hakerów, którzy omijają konieczność stosowania hasła, a ukrócenie ich działalności jest w tej chwili bardzo utrudnione.
Zabezpieczenia kont Google złamane
Sprawa jest bardzo poważna, m.in. ze względu na to, że odkryty przez firmę CloudSEK scenariusz ataku jest w tej chwili aktywnie wykorzystywany przez hakerów. Co gorsza, napastnicy nie muszą podejmować skomplikowanych i rozciągniętych w czasie operacji łamania haseł czy ich wykradania. Atak pozwala bowiem ominąć zarówno konieczność stosowania hasła, jak i weryfikację wielostopniową.
Problem tkwi w ciasteczkach firm trzecich, z których odzyskać można tokeny pozwalające na uzyskanie dostępu do konta Google, a w konsekwencji m.in. do Gmaila, menedżera haseł wszytego w Chrome, Dysku Google, Kalendarza, historii wyszukiwania, ale też przy odpowiedniej manipulacji do autoryzowania się w witrynach, gdzie do rejestracji wykorzystane było konto Google.
Czas na zmianę przeglądarki? Jedna z nich właśnie przyspieszyła o 50 proc.Trwała utrata kontroli nad kontem
O ile zwyczajne ciasteczka mają zazwyczaj swój termin ważności, tak w codziennym użyciu witryny wykorzystują także pliki cookies służące utrzymywaniu sesji. Eliminuje to konieczność ciągłego uwierzytelniania się przy każdym powrocie na daną witrynę. Jeśli zatem wykradniemy z ciasteczka zaszyfrowany token uwierzytelniający, będzie on pozwalał na trwałe uzyskiwanie dostępu.
Taka podatność całego zaprojektowanego przez Google mechanizmu uwierzytelniania OAuth sprawia, że raz odzyskany z ciasteczka token może służyć do utrzymywania dostępu nawet wtedy, gdy ofiara włamania zmieni hasło do konta Google. Nie pomoże również wylogowanie się i ponowne logowanie czy wygaśnięcie sesji.
Google nie reaguje
Mimo że pierwsze informacje o możliwych skutkach wykorzystania tej podatności pochodzą z października, a dopiero teraz teorię przekuto w praktykę, to Google nie tylko nie udało się jej załatać, ale nawet sformułować stanowiska w tej sprawie. Być może korporacja chce spróbować ucieczki do przodu dzięki nowościom, jakie zaczynają pojawiać się w Google Chrome. Docelowo z przeglądarki całkowicie ma zniknąć obsługa ciasteczek firm trzecich.
