Et une fois qu’il a piraté votre compte Google, il était presque impossible de lui refuser l’accès à vos données d’utilisateur.
La vulnérabilité OAuth découverte par les chercheurs en sécurité d’Astrix »GhostToken” sur Google Cloud Platform a permis aux attaquants d’obtenir un accès persistant aux données des utilisateurs sur plusieurs services Google. Il était presque impossible pour les utilisateurs de bannir un pirate de leur compte Google.
GhostToken : vulnérabilité zero-day dans Google Cloud Platform aux conséquences explosives
Les chercheurs d’Astrix Security ont découvert une vulnérabilité qui permettait aux attaquants de pirater le compte Google de quelqu’un et d’y cacher des logiciels malveillants inamovibles. En raison d’une erreur dans le traitement des jetons OAuth, les comptes infiltrés étaient en permanence accessibles aux cybercriminels.
Le « GhostToken« La vulnérabilité dite zero-day de Google Cloud Platform (GCP) avait le potentiel de donner à un acteur malveillant un accès permanent à plusieurs services Google de sa victime – notamment Gmail, Drive, Photos, Calendar et Maps (y compris le suivi de localisation).
Un attaquant qui a piraté le compte Google de sa cible et obtenu l’accès à ses informations d’identification d’utilisateur peut parfois effectuer des attaques de phishing extrêmement convaincantes ou même exposer sa victime à des dommages physiques sur la base des informations en dessous.
Le projet GCP supprimé a autorisé le piratage de compte Google
À la base, la vulnérabilité est basée sur le fait que les développeurs peuvent récupérer un projet GCP jusqu’à 30 jours après sa suppression. Si vous utilisez cette fonction, cela entraîne également la réactivation d’un jeton d’actualisation OAuth émis avant la suppression.
Cela signifie que l’application respective peut également récupérer un nouveau jeton d’accès sur le serveur. Les données des utilisateurs qui avaient précédemment accordé à l’application l’accès à leur compte Google sont à nouveau entièrement accessibles.
Cependant, alors que le projet GCP est dans le « état flottant” était auparavant invisible pour l’utilisateur. Dans la gestion de compte du compte Google respectif sous « Applications avec accès à mon compte” l’application supprimée mais toujours récupérable a disparu. Par conséquent, l’autorisation d’accès aux données ne peut être révoquée.
Compte Google piraté : suppression et restauration en alternance perpétuelle
Les attaquants ont pu exploiter ce comportement en fournissant initialement une application OAuth supposée inoffensive via divers magasins d’applications. Grâce à des fonctions apparemment légitimes, ils ont pu inciter leurs victimes à autoriser le logiciel à accéder à leurs données Google.
Selon les chercheurs d’Astrix, il était alors possible pour un pirate informatique de supprimer son projet logiciel et ainsi empêcher les utilisateurs de pouvoir retirer à nouveau les autorisations d’accès à leur compte Google.
Il a ensuite pu restaurer temporairement le projet GCP à tout moment pour obtenir un nouveau jeton d’accès et l’utiliser pour accéder aux données de l’utilisateur. Immédiatement après, il a pu à nouveau cacher l’application à l’utilisateur et ainsi toujours rester sous le radar. Dans cette fenêtre de temps très limitée, très peu d’utilisateurs auraient eu la possibilité de bloquer l’accès renouvelé.
La seule condition était que l’attaquant ne puisse jamais laisser son projet à l’état supprimé pendant plus de 30 jours. Parce que sinon, il en aurait complètement perdu l’accès.
Début avril, Google a toutefois mis un terme à ce scénario d’attaque. Depuis lors, les applications supprimées sont également restées visibles dans la gestion des applications de l’utilisateur tant qu’elles peuvent encore être restaurées. En conséquence, les utilisateurs peuvent désormais retirer à tout moment les autorisations du compte Google à un pirate informatique.