Da li ste i vi među milion prevarenih Google korisnika?
Jedna od najvećih “phishing” prevara u poslednje vreme desila se 3. maja, a na tapetu je bio niko drugi do Google, tačnije bezbednosni propust u Google Docs. Ukoliko vam stigne elektronska pošta od Google Docs u kojoj se kaže da je neko podelio neki dokument sa vama, sa linkom ka dokumentu u prilogu, nema razloga da ga ne otvorite. Čak i kada se od vas traži (na Google) strani da se ponovo ulogujete, ni to nije previše neobično, jer se dešava da Google povremeno proveri vašu šifru. Znači – ništa neobično, zar ne?
Tako je mislilo i jedno milion Google korisnika, koji su kliknuli na link, uneli svoje kredencijale i omogućili napadačima pristup svojoj listi kontakata i nastavili dalje slanje mejlova svim kontaktima s liste. Ne treba reći da su se mejlovi širili kao šumski požar sa dobrim vetrom lakovernih korisnika. Glavni problem koji je omogućio ovakav tip napada je fundamentalno otvoreni sistem na kojem počivaju Google servisi. Sam napad je veoma dobro osmišljen. Naime, dobijete e-mail sa poznatim naslovom: “Marko has shared a document on Google Docs with you“, a u telu poruke imate dodatni tekst: “Marko has invited you to view the following document” i veliko lepo Google plavo dugme na kojem piše “Open in Docs“. Sve po PS-u, zar ne? Međutim, na tehničkom nivou, dugme je u stvari “klikni ovde da instaliraš aplikaciju“, međutim, i taj link je super dobro zamaskiran jer njegov URL glasi:
https://accounts.google.com/o/oauth2/auth?client_id=346348828325-vlpb3e70lp89pd823qrcb9jfsmu556t8.apps.googleusercontent.com&scope=https%3A%2F%2Fmail.google.com%2F+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fcontacts&immediate=false&include_granted_scopes=true&response_type=token&redirect_uri=https%3A%2F%2Fgoogledocs.g-cloud.pro%2Fg.php&customparam=customparam
Dakle, ne počinje baš sa docs.google.com, ali se Google pominje dovoljno puta da to deluje legitimno. Najpametniji deo prevare je naredna strana koja od vas zahteva da se logujete svojim Google nalogom. Ona izgleda identično kao Google login strana, jer to faktički i jeste. Naime, vi praktično govorite Google nalogu da hoćete da instalirate nezavisnu aplikaciju na svoj nalog i da koristite Google za autorizaciju, što je isto kao da instalirate bilo koji dodatak na svoj Gmail nalog (na primer Boomerang ili Unroll.me). Google za autorizaciju koristi protokol nazvan OAuth, a u pitanju je isti sistem koji vam omogućava da koristite svoj Google nalog da se logujete na Facebook ili Twitter…
I tu počinje pravi problem, pošto sve deluje legitimno, 0,1 odsto Gmail korisnika se upecalo, što možda deluje kao malo, ali to je i dalje preko milion ljudi, pre nego što se upalila crvena lampica kod administratora. Sam phishing napad je bio manje-više bezazlen, jer nije naneo praktičnu štetu osim tone spam poruka, jer Google može da ubaci ekstenziju na “crnu listu” i onemogući njeno instaliranje, što se desilo nekoliko sati nakon početka napada. Kako je napad koristio OAuth umesto nove login strane šifre nisu kompromitovane, već samo liste kontakata.
Ovakve lažne ekstenzije i aplikacije su veliki problem za Google koji forsira otvoreni sistem i otvorene protokole, sa nadogradnjom jedan na drugi ima svoje prednosti i mane. Prednosti su što je prosto nemoguće pronaći gde koji protokol počinje, a gde se prethodni završava, a mane su “rupe” koje, poput ove omogućavaju probleme zbog same prirode otvorenih protokola. Kao posledica ovakvog pristupa, celokupna Google struktura u osnovi ima jednu veliku manu, koju je praktično nemoguće eliminisati, a koju hakeri sve češće koriste. Pitanje je kako će Google probati da reši ovaj problem i koliko će korisnika biti prevareno dok Google ne smisli neko dobro rešenje.
Izvor: The Verge