ایجاد مسیرهای مخفی ورود به حساب کاربری گوگل از طریق آسیب‌پذیری GhostToken

ایجاد مسیرهای مخفی ورود به حساب کاربری گوگل از طریق آسیب‌پذیری GhostToken

کمپانی گوگل اخیراً یک آسیب‌پذیری امنیتی مربوط به Cloud Platform یا به‌اختصار GCP که تمامی کاربران را تحت تأثیر خود قرار داده بود رفع کرده است. این حفره امنیتی به مهاجمان اجازه می‌داد تا با نصب اپلیکیشن‎‌های بدافزار OAuth از طریق بازار گوگل و یا محیط‌های سوم شخص مسیرهای مخفی را برای ورود خود به‌حساب کاربری قربانیان ایجاد نمایند. این آسیب‌پذیری که توسط شرکت اسرائیلی استریکس سکوریتی GhostToken نام گرفته است در ژوئن 2022 کشف و پس از اعلام به کمپانی گوگل سرانجام در اوایل آوریل 2023 میلادی از طریق یک وصله امنیتی مرتفع گردیده است.

مهاجمان پس از مجاز شناختن و اعطای یک توکن OAuth که اجازه دسترسی به حساب‌های کاربری گوگل کاربران را به آن‌ها می‌دهد، می‌توانند اپلیکیشن‌های مخرب را از دید پنهان نمایند. این روند به مخفی شدن برنامه از صفحه مدیریت اپلیکیشن گوگل منتهی می‌شود که در حقیقت تنها محیطی به شمار می‌رود که اجازه مدیریت اپلیکیشن‌های متصل به اکانت کاربران را در اختیار آن‌ها قرار می‌دهد. مهاجمان به‌منظور پنهان ساختن برنامه‌های بدافزاری که توسط قربانی مجاز شناخته شده‌اند فقط باید با حذف پروژه GCP لینک شده آن‌ها را وارد حالت “آماده برای پاک‌سازی” نمایند؛ اما پس از بازگردانی پروژه مجدداً به یک توکن تازه که امکان دستیابی به یک توکن جدید با قابلیت استفاده جهت دسترسی به داده‌های قربانی را به آن‌ها می‌دهد دست پیدا خواهند کرد. این روند می‌تواند در قالب یک حلقه بدون پایان تکرار شود.

نحوه بهره‌برداری از آسیب‌پذیری GhostToken

تأثیر حمله آسیب‌پذیری GhostToken وابسته به مجوزهای اعطا شده به اپلیکیشن‌های بدافزار که توسط قربانیان نصب شده‌اند متفاوت خواهد بود. گروه تحقیقاتی استریکس سکوریتی در این باره گفته است که “آسیب‌پذیری به مهاجمان اجازه می‌دهد تا دسترسی همیشگی و غیرقابل حذفی را به حساب‌های کاربری قربانیان از طریق تبدیل اپلیکیشن‌های سومی شخص پیشتر مجاز شناخته شده توسط کاربر به برنامه‌های تروجان پیدا کرده و داده‌های شخصی آنان را برای همیشه در معرض خطر قرار دهند. این روند می‌تواند داده‌های نگهداری شده در اپلیکیشن‌های گوگل قربانی نظیر جی‌میل (Gmail)، درایو (Drive)، تصاویر (Photos) و تقویم (Calendar) و یا خدمات پلتفرم ابری گوگل همچون BigQuery ،Google Compute و … را شامل شود.”

وصله‌ای که به‌تازگی توسط کمپانی گوگل برای آدرس‌دهی آسیب‌پذیری GhostToken اعمال شده است به اپلیکیشن‌های OAuth پلتفرم GCP که در وضعیت “آماده برای حذف” قرار گرفته‌اند اجازه می‌دهد تا در صفحه “برنامه‌های دارای دسترسی به حساب کاربری شما” به نمایش درآیند تا کاربران از این طریق بتوانند آن‌ها را از اکانت خود حذف نمایند. شرکت استریکس به‌تمامی کاربران گوگل توصیه می‌کند تا به این صفحه مراجعه کرده و به بررسی تمامی نرم‌افزارهای سوم شخص پرداخته و از دسترسی به تنها مجوزهایی محدودی که برای فعالیت به آن‌ها نیاز دارند اطمینان حاصل نمایند.

منبع: BleepingComputer

محمدجواد قلی پور

محمدجواد قلی پور

جذابیت دوچندان حوزه‌های الکترونیک و کامپیوتر باعث شده است تا محمدجواد نسبت به نگارش اخبار و مقالات در رسانه‌های اینترنتی از خود علاقه نشان دهد. او اکنون بیشتر از یک دهه در این زمینه فعال بوده و تاکنون صدها مقاله در حوزه‌های مختلف و هزاران خبر را تدوین و در رسانه‌های سخت‌افزاری معروف ایران منتشر کرده است تا تلاشی هر چند کوچک را در راستای رفع مشکلات الکترونیکی و کامپیوتری کاربران به انجام رسانده باشد.
محمدجواد قلی پور

محمدجواد قلی پور

جذابیت دوچندان حوزه‌های الکترونیک و کامپیوتر باعث شده است تا محمدجواد نسبت به نگارش اخبار و مقالات در رسانه‌های اینترنتی از خود علاقه نشان دهد. او اکنون بیشتر از یک دهه در این زمینه فعال بوده و تاکنون صدها مقاله در حوزه‌های مختلف و هزاران خبر را تدوین و در رسانه‌های سخت‌افزاری معروف ایران منتشر کرده است تا تلاشی هر چند کوچک را در راستای رفع مشکلات الکترونیکی و کامپیوتری کاربران به انجام رسانده باشد.
مطالب مرتبط:
  1. حمله مهاجمان به وب‌سایت‌های وردپرسی با استفاده از پلاگین قدیمی Eval PHP
  2. خرید استودیو Rovio توسط کمپانی سگا به مبلغ یک میلیارد دلار
  3. انتشار اطلاعات بیشتر از کارت گرافیک مورد انتظار RTX 4060 Ti کمپانی انویدیا
  4. یک نسخه عرضه نشده از کارت گرافیک RTX 3060 با تعداد هسته‌های بیشتر دیده شد!

پر بازدیدترین‌های اخبار

جدیدترین‌های اخبار

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *