Wyszukaj w serwisie
biznes finanse technologie praca handel Eko Energetyka polska i świat
BiznesINFO.pl > Technologie > Hakerzy złamali zabezpieczenia Google. Włamują się bez użycia hasła, reset nie pomaga
Maciej Olanicki
Maciej Olanicki 08.01.2024 20:06

Hakerzy złamali zabezpieczenia Google. Włamują się bez użycia hasła, reset nie pomaga

google
Fot. Rajeshwar Bachu/Unsplash

Dane uwierzytelniania do konta Google do jedne z najbardziej wrażliwych danych. Za jednym zamachem uzyskać można ogrom danych, choćby z samego Gmaila, które pozwalają na dalsze włamania. Niestety wykryto nową aktywność hakerów, którzy omijają konieczność stosowania hasła, a ukrócenie ich działalności jest w tej chwili bardzo utrudnione.

Zabezpieczenia kont Google złamane

Sprawa jest bardzo poważna, m.in. ze względu na to, że odkryty przez firmę CloudSEK scenariusz ataku jest w tej chwili aktywnie wykorzystywany przez hakerów. Co gorsza, napastnicy nie muszą podejmować skomplikowanych i rozciągniętych w czasie operacji łamania haseł czy ich wykradania. Atak pozwala bowiem ominąć zarówno konieczność stosowania hasła, jak i weryfikację wielostopniową.

Problem tkwi w ciasteczkach firm trzecich, z których odzyskać można tokeny pozwalające na uzyskanie dostępu do konta Google, a w konsekwencji m.in. do Gmaila, menedżera haseł wszytego w Chrome, Dysku Google, Kalendarza, historii wyszukiwania, ale też przy odpowiedniej manipulacji do autoryzowania się w witrynach, gdzie do rejestracji wykorzystane było konto Google.

Czas na zmianę przeglądarki? Jedna z nich właśnie przyspieszyła o 50 proc.

Trwała utrata kontroli nad kontem

O ile zwyczajne ciasteczka mają zazwyczaj swój termin ważności, tak w codziennym użyciu witryny wykorzystują także pliki cookies służące utrzymywaniu sesji. Eliminuje to konieczność ciągłego uwierzytelniania się przy każdym powrocie na daną witrynę. Jeśli zatem wykradniemy z ciasteczka zaszyfrowany token uwierzytelniający, będzie on pozwalał na trwałe uzyskiwanie dostępu.

Taka podatność całego zaprojektowanego przez Google mechanizmu uwierzytelniania OAuth sprawia, że raz odzyskany z ciasteczka token może służyć do utrzymywania dostępu nawet wtedy, gdy ofiara włamania zmieni hasło do konta Google. Nie pomoże również wylogowanie się i ponowne logowanie czy wygaśnięcie sesji.

Google nie reaguje

Mimo że pierwsze informacje o możliwych skutkach wykorzystania tej podatności pochodzą z października, a dopiero teraz teorię przekuto w praktykę, to Google nie tylko nie udało się jej załatać, ale nawet sformułować stanowiska w tej sprawie. Być może korporacja chce spróbować ucieczki do przodu dzięki nowościom, jakie zaczynają pojawiać się w Google Chrome. Docelowo z przeglądarki całkowicie ma zniknąć obsługa ciasteczek firm trzecich.

Powiązane
haker
Quiz sprawdzi, czy jesteś bezpieczny w internecie. Jeśli nie zdobędziesz 7/10 pkt., możesz mieć kłopoty