كشف باحثو الأمن السيبراني عن تفاصيل عيب تم تصحيحه في الوقت الحالي في Google Cloud Platform (GCP) كان من الممكن أن يمكّن الجهات الفاعلة في التهديد من إخفاء تطبيق ضار غير قابل للإزالة داخل حساب Google للضحية.
ويؤثر هذا القصور ، الذي أطلق عليه اسم GhostToken من قبل شركة Astrix Security الإسرائيلية للأمن السيبراني ، على جميع حسابات Google ، بما في ذلك حسابات Workspace التي تركز على المؤسسات. تم اكتشافه وإبلاغ Google به في 19 يونيو 2022. ونشرت الشركة تصحيحًا عالميًا بعد أكثر من تسعة أشهر في 7 أبريل 2023.
قال أستريكس في تقرير : "تسمح الثغرة الأمنية [...] للمهاجمين بالحصول على وصول دائم وغير قابل للإزالة إلى حساب Google الخاص بالضحية من خلال تحويل تطبيق جهة خارجية مصرح به بالفعل إلى تطبيق طروادة ضار ، مما يترك البيانات الشخصية للضحية مكشوفة إلى الأبد". .
باختصار ، يتيح هذا الخلل للمهاجم إمكانية إخفاء تطبيقه الضار من صفحة إدارة تطبيق حساب Google الخاص بالضحية ، وبالتالي يمنع المستخدمين بشكل فعال من إبطال وصوله.
يتم تحقيق ذلك عن طريق حذف مشروع GCP المرتبط بتطبيق OAuth المرخص ، مما يؤدي إلى انتقاله إلى حالة "الحذف المعلق". يمكن لممثل التهديد ، المسلح بهذه الإمكانية ، بعد ذلك إظهار التطبيق المارق من خلال استعادة المشروع واستخدام رمز الوصول للحصول على بيانات الضحية ، وجعلها غير مرئية مرة أخرى.
قال أستريكس: "بعبارة أخرى ، المهاجم يحمل رمز" شبح "لحساب الضحية".
يعتمد نوع البيانات التي يمكن الوصول إليها على الأذونات الممنوحة للتطبيق ، والتي يمكن للخصوم إساءة استخدامها لحذف الملفات من Google Drive ، وكتابة رسائل البريد الإلكتروني نيابة عن الضحية لتنفيذ هجمات الهندسة الاجتماعية ، وتتبع المواقع ، واستخراج البيانات الحساسة من Google. التقويم والصور ومحرك الأقراص.
وأضاف أستريكس: "قد يأذن الضحايا عن غير قصد بالوصول إلى مثل هذه التطبيقات الضارة عن طريق تثبيت تطبيق يبدو بريئًا من Google Marketplace أو أحد أدوات الإنتاجية العديدة المتاحة عبر الإنترنت".
"بمجرد اعتماد التطبيق الضار ، يمكن للمهاجم الذي يستغل الثغرة الأمنية تجاوز ميزة إدارة" تطبيقات Google التي لها حق الوصول إلى حسابك "، وهي المكان الوحيد الذي يمكن لمستخدمي Google فيه عرض تطبيقات الجهات الخارجية المتصلة بحساباتهم."
يعالج تصحيح Google المشكلة من خلال عرض التطبيقات التي هي في حالة حذف معلق على صفحة وصول الطرف الثالث ، مما يسمح للمستخدمين بإلغاء الإذن الممنوح لهذه التطبيقات.
يأتي هذا التطوير في الوقت الذي أصلحت فيه Google Cloud عيبًا في تصعيد الامتياز في واجهة Cloud Asset Inventory API التي يطلق عليها Asset Key Thief والتي يمكن استغلالها لسرقة المفاتيح الخاصة لحساب الخدمة التي يديرها المستخدم والوصول إلى البيانات القيمة. تم تصحيح المشكلة ، التي اكتشفتها SADA في وقت سابق من فبراير من هذا العام ، من قبل عملاق التكنولوجيا في 14 مارس 2023.
تأتي النتائج بعد أكثر من شهر بقليل من كشف شركة Mitiga للاستجابة للحوادث السحابية أن الخصوم يمكن أن يستفيدوا من الرؤية الجنائية "غير الكافية" في برنامج "شركاء Google المعتمدون" لسحب البيانات الحساسة.