Cyberprzestępczość jest w dzisiejszych czasach poważnym problemem. Okazuje się, że muszą z nim zmagać się tacy giganci jak Google. Hakerzy znaleźli nowy sposób na to, by przejmować konta użytkowników, nie znając nawet hasła. Co na to firma?
Nowy sposób hakerów
W sieci pojawiły się informacje o nowym sposobie działania cyberprzestępców. Według nich, możliwe jest uzyskanie dostępu do konta Google bez znajomości danych logowania. W tym celu cyberprzestępcy mają wykorzystywać pliki cookies, znane również jako ciasteczka. Jak to możliwe?
Na samym początku warto krótko wyjaśnić, że pliki o których mowa są przechowywane przez przeglądarkę internetową na urządzeniu użytkownika. Ich głównym zadaniem jest zapamiętywanie informacji o internautach i ich preferencjach. Służą one do ulepszania doświadczeń użytkownika podczas przeglądania stron, ale mogą również budzić obawy dotyczące prywatności, ponieważ pozwalają na śledzenie aktywności online, a także mogą przechowywać dane konieczne do uwierzytelniania.
To z wykorzystaniem właśnie tych plików hakerzy mogą uzyskać dostęp do konta Google. Po raz pierwszy został on opisany w październiku 2023 roku. Badacze z CloudSEK odkryli, że wykorzystuje on punkt końcowy Google OAuth o nazwie „MultiLogin”, który jest przeznaczony do synchronizowania kont w różnych usługach Google. Firma Hudson Rock zajmująca się analizą zagrożeń w sieci opublikowała film, w którym cyberprzestępca demonstruje, jak działa schemat podatności polegający na przywracaniu plików cookie.
Złośliwe oprogramowanie wykorzystując punkt końcowy, wydobywa tokeny i identyfikatory kont z profili Chrome zalogowanych na konto Google. Skradzione informacje zawierają dwa kluczowe elementy danych: identyfikator usługi (GAIA ID) oraz zaszyfrowany token. Są one następnie odszyfrowywane przy użyciu klucza szyfrującego przechowywanego w pliku „Local State” Chrome. Ten sam klucz szyfrujący jest również używany do odszyfrowywania zapisanych haseł w przeglądarce. Wykorzystując skradzione dane cyberprzestępcy mogą regenerować wygasłe już ciasteczka i uzyskiwać dostęp do kont.
Co na to Google?
Serwis BleepingComputer twierdzi, że obecnie luka w zabezpieczeniach Google jest wykorzystywana przez co najmniej 6 twórców złośliwego oprogramowania, a firma zdaje sobie z tego sprawę, ponieważ wydaje łatki, które są jednak sprawnie omijane przez hakerów. Portal zwracał się w tej sprawie z pytaniami do Google kilkukrotnie, jednak nie uzyskał żadnych odpowiedzi.
Problem jest poważny, ponieważ dzięki tej luce w Chrome, cyberprzestępcy mogą pominąć się tylko znajomość hasła, ale także uwierzytelnianie dwuskładnikowe zwykle używane do zabezpieczania kont. Jeśli zauważycie nietypową aktywność na swoim koncie, nie zwlekajcie ze zmianą hasła.
