HWSW

Új támadás alatt a Google-felhasználók

Viszonylag új típusú, a hozzáférések engedélyezését kihasználó támadási forma ütötte fel tegnap a fejét a Google-felhasználók között. A cég gyorsan lépett és elhárította az adatgyűjtő támadást, de a jelenség jól rámutatott az OAuth-rendszer hiányosságaira.

Rendkívül sikeres támadást kaptak tegnap a nyakukba a Gmail-felhasználók. Egy, magát Google Docs-megosztásnak álcázó phishing-levél kért hozzáférést a felhasználó Gmail-fiókjához a Google nevében, majd ha megkapta a hozzáférést, akkor a névjegyzék összes elemének továbbküldte magát, miközben a felhasználó személyes adatait elmentette.

A támadás különlegessége, hogy a rendszeresen sulykolt biztonsági elemekkel mind rendelkezett. Az engedélyt tényleg egy Google-féle doménen kérte, volt HTTPS és zöld lakat is - tehát a tipikus, bizalmat gerjesztő jelek mind a helyükön voltak. Ugyanígy az engedélyt kérő alkalmazás neve Google Docs volt, a Google Docs ikonját használta a megszokott Google-féle felületen, nem véletlen, hogy a felhasználók gyanútlan tömegei kattintottak az engedélyezés gombra.

Gyanút csak az kelthetett, ha a felhasználó az engedélykérő ablakban rákattintott az alkalmazás nevére - ekkor jelent meg a fejlesztő emailcíme (egyes esetekben eugene.pupov@gmail.com) és az URL, amely az engedélyt kéri (ez valamilyen .g-docs.pro vagy .g-docs.win esetleg más hasonló formátumot használt). Ez már a haladó felhasználó számára elegendő jelzés, azonban az alap felületen külön kérés nélkül nem jelent meg, manuálisan kellett lekérni, ezt pedig a legtöbben elmulasztották.

A támadás abban nagyon szokatlan, hogy teljesen megkerüli a hagyományos jelszavas infrastruktúrát, ha a felhasználó már belépett a Google szolgáltatásába, akkor csupán meg kell adnia az engedélyt, a támadó pedig teljes hozzáféréssel rendelkezik a postaládához. Ez egyúttal azt is jelenti, hogy a jelszavakhoz nem tudtak a külső felek hozzáférést szerezni - a másik oldalon viszont sem a jelszóbiztonság, sem például a kétfaktoros védelem nem nyújtott fedezéket a támadás ellen.

(forrás: Ars Technica [1])

Mindezt az tette lehetővé, hogy a támadók a Google-féle OAuth rendszerét használták ki [2]. Ez lehetővé teszi külső fejlesztőknek, hogy hozzáférést kérjenek a felhasználói fiókok bizonyos funkcióihoz és azokat a szabványos API-kon keresztül menedzseljék. Ilyen API-kon keresztül a megfelelő, jogosultságot igazoló token birtokában a Google komplex funkcionalitást tesz elérhetővé a külső szolgáltatásoknak, anélkül, hogy azok a Google fiókok belépési adatait tárolnák.

xA Google órákon belül lépett és a támadás minden elemét hatékonyan lenullázta: a támadáshoz használt URL-ek már nem működnek, a támadók által kért jogosultságokat pedig törölte a cég az áldozatok profiljából. Ez viszonylag egyszerű az OAuth rendszerében, a Google-nak csak meg kell vonnia a kérdéses fejlesztői fióktól a jogosultságot.

A cég közleményt is kiadott: "Lépéseket tettünk annak érdekében, hogy a felhasználókat megvédjük egy, a Google Docs-ot megszemélyesítő emaillel szemben, a támadáshoz használt fiókokat pedig töröltük. A hamis oldalakat eltávolítottuk, a Safe Browsing (böngészős szűrő) rendszerét frissítettük, a visszaéléseket vizsgáló csapat pedig azon dolgozik, hogy ilyen megszemélyesítés a jövőben ne történhessen meg. Felhasználóinkat arra bátorítjuk, hogy a phishing emaileket jelentsék a Gmail felületén. Ha úgy gondolja, hogy támadó emailre kattintott, akkor látogasson el a beállítások oldalára [3] és törölje azokat az alkalmazásokat, amelyeket nem ismer fel."

A cikkben hivatkozott linkek:
[1] https://arstechnica.com/security/2017/05/dont-trust-oauth-why-the-google-docs-worm-was-so-convincing/
[2] https://developers.google.com/identity/protocols/OAuth2
[3] https://myaccount.google.com/secureaccount
A cikk adatai:
//www.hwsw.hu/hirek/57189/google-docs-phishing-tamadas-oauth.html
Író: Gálffy Csaba (galffy.csaba@hwsw.hu)
Dátum: 2017. május 04. 09:46
Rovat: vállalati it