Google: Malver zloupotrebe API je standardna krađa tokena, a ne problem API-ja
Google umanjuje značaj izveštaja o malveru koji zloupotrebljava nedokumentovani Google Chrome API radi generisanja novih autentifikacionih kolačića kada prethodno ukradeni isteknu.
Google vidi ovu zloupotrebu API-ja kao običnu krađu kolačića baziranu na malveru
Krajem novembra 2023. godine, BleepingComputer je izvestio o dva malvera za krađu informacija pod imenima Lumma i Rhadamanthys, tvrdeći da mogu obnoviti istekle Google autentifikacione kolačiće ukradene tokom napada. Ovi kolačići mogli bi zatim biti učitani u browser-e zlonamernih aktera kako bi im se omogućio pristup Google nalogu zaraženog korisnika. Od tada, još četiri malvera za krađu informacija su usvojila istu tehniku, uključujući Stealc, 1. decembra, Medusa, 11. decembra, RisePro, 12. decembra i Whitesnake, 26. decembra.
Prošle nedelje, kompanija za sajber bezbednost CloudSEK otkrila je da ovi malveri za krađu informacija zloupotrebljavaju Google OAuth “MultiLogin” API endpoint radi generisanja novih funkcionalnih autentifikacionih kolačića kada isteknu originalno ukradeni Google kolačići žrtava. Veruje se da je ovaj API dizajniran za sinhronizaciju naloga između različitih Google usluga prihvatanjem vektora ID-ova naloga i autentifikacionih tokena.
Istraživač CloudSEK-a Pavan Karthick rekao je će malveri za krađu informacija koji zloupotrebljavaju ovu funkciju sada ukrasti više tokena iz Google Chrome-a. Ovi tokeni uključuju autentifikacione kolačiće za Google sajtove i poseban token koji se može koristiti za osvežavanje ili generisanje novih autentifikacionih tokena. Kako obični autentifikacioni kolačići ističu nakon određenog vremena, na kraju postaju neupotrebljivi za zlonamernog aktera. Međutim, sve dok korisnik nije odjavljen iz Google Chrome-a ili opozvao sve sesije povezane sa svojim nalogom, zlonamerni akteri mogu koristiti ovaj poseban “Refresh” token za generisanje potpuno novih autentifikacionih tokena kada prethodni isteknu. Ovi novi tokeni im omogućavaju da nastave pristupanje nalozima mnogo duže nego što bi inače bilo dozvoljeno.
Nažalost, Google vidi ovu zloupotrebu API-ja kao običnu krađu kolačića baziranu na malveru.
“Google je svestan nedavnih izveštaja o porodici malvera koja krade sesijske tokene”, rekao je Google prošle nedelje. “Napadi koji uključuju malvere koji kradu kolačiće i tokene nisu novi; redovno nadograđujemo svoje odbrane protiv takvih tehnika i štitimo korisnike koji postanu žrtve malvera. U ovom slučaju, Google je preduzeo korake da obezbedi sve kompromitovane naloge koje otkrije.”
Međutim, izvori upoznati sa ovim problemom rekli su da Google smatra da API radi kako je predviđeno i da malver ne zloupotrebljava nikakvu ranjivost. Rešenje Google-a za ovaj problem je jednostavno – korisnici treba da se odjave iz svog Chrome browser-a sa pogođenog uređaja ili da ubiju sve aktivne sesije putem g.co/mydevices. To će onemogućiti Refresh token i učiniti ga neupotrebljivim s API-jem. Kako su malveri za krađu informacija ukrali vaše akreditive, trebalo bi takođe da promenite svoju Google šifru iz predostrožnosti, posebno ako koristite iste akreditive na drugim sajtovima.
“U međuvremenu, korisnici bi trebalo da neprestano preduzimaju korake za uklanjanje malvera sa svog računara, i preporučujemo uključivanje poboljšane sigurne pretrage u Chrome-u kako biste se zaštitili od fišinga i preuzimanja malvera”, dodaje Google.
Iako će ovi preporučeni koraci ublažiti uticaj infekcija malverom za krađu informacija, većina ljudi zaraženih ovim tipom malvera neće znati kada da preduzmu ove korake. Kada ljudi budu zaraženi malverom za krađu informacija, obično to ne znaju sve dok njihovim nalozima neko pristupi bez dozvole i zloupotrebi ih na neki detektabilan način.
Na primer, zaposleni u Orange España, drugom najvećem mobilnom operateru zemlje, imali su svoje šifre ukradene od strane malvera za krađu informacija. Međutim, niko nije znao sve dok ukradeni akreditivi nisu iskorišćeni za prijavljivanje na RIPE nalog kompanije i modifikaciju njihove BGP konfiguracije, uzrokujući pad performansi od 50% i prekide interneta za Orange korisnike.
I dok Google tvrdi da su detektovali one koji su pogođeni ovom zloupotrebom API-ja i obavestili ih, šta će se desiti sa budućim žrtvama? Štaviše, kako će korisnici znati da treba da se odjave iz svog browser-a kako bi onemogućili autentifikacione tokene kada čak ni ne znaju da su zaraženi u prvoj fazi.
Iz tog razloga, bolje rešenje bilo bi ograničiti pristup ovom API-ju na neki način kako bi se sprečila zloupotreba od strane malvera kao servisa. Nažalost, ne čini se da se to dešava.
Izvor: Bleepingcomputer