Компания Google устранила опасную уязвимость GhostToken в Google Cloud Platform (GCP). Проблема затрагивала всех пользователей и позволяла злоумышленникам создавать бэкдоры для чужих учетных записей, используя вредоносные приложения с OAuth, установленные из магазина Google или сторонних поставщиков.
Уязвимость была обнаружена израильским стартапом Astrix Security. Причем баг нашли еще летом 2022 года, но устранить его удалось лишь с помощью глобального исправления, выпущенного в начале апреля 2023 года.
Суть GhostToken заключается в том, что после авторизации и привязки к токену OAuth, который дает доступ к учетной записи Google, вредоносное приложение может стать «невидимыми» за счет использования этой уязвимости. В итоге приложение будет скрыто со страницы управления приложениями, единственного места, откуда пользователи Google могут управлять своим приложениями, подключенными к учетным записям.
«Поскольку это единственное место, где пользователи Google могут видеть свои приложения и отзывать доступ к ним, эксплоит делает вредоносное приложение неудаляемым из учетной записи Google, — пишут исследователи Astrix Security. — Злоумышленник, в свою очередь, может сделать приложение "видимым" по своему усмотрению и использовать токен для доступа к учетной записи жертвы, а затем снова скрыть приложение, чтобы вновь сделать его неудаляемым. Другими словами, у злоумышленника будет призрачный токен для аккаунта жертвы».
Чтобы сделать вредоносные приложения, авторизованные жертвами, «невидимыми», злоумышленнику было достаточно просто перевести их в состояние «ожидает удаления», удалив связанный проект GCP. Причем после восстановления проекта хакеру будет предоставлен refresh-токен, позволяющий получить новый токен доступа, который можно использовать для доступа к данным жертв.
Хуже того, все это можно было проделывать в цикле, удаляя и восстанавливая проект GCP, чтобы скрывать вредоносное приложение от жертвы.
Последствия такой атаки зависели от конкретных разрешений, предоставленных жертвой вредоносному приложению. Сюда могли входить данные, хранящиеся в приложениях Google жертвы, в том числе Gmail, Drive, Docs, Photos, Calendar, а также в сервисах Google Cloud Platform (BigQuery, Google Compute, и так далее).
В результате уязвимость «позволяла злоумышленникам получить постоянный и необратимый доступ к учетной записи Google жертвы, превратив уже авторизованное стороннее приложение во вредоносный троянский инструмент, навсегда оставив личные данные жертвы открытыми», — подытоживают аналитики Astrix Security.
Выпущенный инженерами Google патч делает все приложения GCP OAuth со статусом «ожидает удаления» видимыми на странице «Приложения с доступом к вашей учетной записи», позволяя пользователям видеть их и удалять.
Исследователи Astrix Security советуют всем пользователям Google посетить страницу управления приложениями и проверить, что им выданы только те разрешения, которые действительно необходимы для их работы.