谷歌云平臺(tái)現(xiàn)“鬼魂漏洞”,能讓惡意軟件隱身

發(fā)布時(shí)間 2023-04-21

據(jù)Dark Reading 4月21日消息,谷歌云平臺(tái) (GCP) 被曝存在一個(gè)安全漏洞,可能允許網(wǎng)絡(luò)攻擊者在受害者的谷歌帳戶中隱藏不可刪除的惡意應(yīng)用程序。


這個(gè)被稱為“GhostToken”的漏洞是由 Astrix 安全研究人員發(fā)現(xiàn)并報(bào)告,根據(jù)該團(tuán)隊(duì) 4 月 20 日發(fā)布的分析,惡意程序之所以進(jìn)行隱藏,是為了進(jìn)一步讀取受害者的 Gmail 帳戶、訪問 Google Drive 和 Google Photos 中的文件、查看 Google 日歷以及通過谷歌地圖跟蹤位置,有了這些信息,攻擊者就可以設(shè)計(jì)出極具迷惑性的網(wǎng)絡(luò)釣魚攻擊。


除此之外,攻擊者還可能從Google Drive 中刪除文件,從受害者的 Gmail 帳戶中寫入電子郵件以執(zhí)行社會(huì)工程攻擊,從 Google Calendar、Photos 或 Docs 中敏感數(shù)據(jù),等等。

如鬼魂般的惡意程序


谷歌云平臺(tái)是谷歌所提供的一套公有云計(jì)算服務(wù)。該平臺(tái)包括一系列在 Google 硬件上運(yùn)行的用于計(jì)算、存儲(chǔ)和應(yīng)用程序開發(fā)的托管服務(wù),也包括為最終用戶托管各類應(yīng)用程序,這些應(yīng)用程序與其他應(yīng)用程序生態(tài)系統(tǒng)一樣,可通過谷歌應(yīng)用市場下載。一旦用戶授權(quán)下載,應(yīng)用程序就會(huì)在后臺(tái)收到一個(gè)令牌,根據(jù)應(yīng)用程序請求的權(quán)限授予相應(yīng)的Google 帳戶訪問權(quán)限。


但利用GhostToken 漏洞,網(wǎng)絡(luò)攻擊者可以制作一個(gè)惡意應(yīng)用程序,將其植入到應(yīng)用程序商店,偽裝成合法的實(shí)用程序或服務(wù)。一旦用戶下載并安裝,便會(huì)隱藏在受害者的谷歌賬戶申請管理頁面中,并無法從谷歌帳戶中刪除。此外,攻擊者可以隨時(shí)取消對惡意程序的隱藏狀態(tài),讓其使用令牌訪問受害者的帳戶,然后再次隱藏并恢復(fù)成不可刪除的狀態(tài)。


Astrix 的研究員表示,這個(gè)特定的漏洞允許網(wǎng)絡(luò)攻擊者一方面訪問組織的 GCP 環(huán)境,另一方面也可以訪問個(gè)人 的Google Photos 和電子郵件帳戶,從而對企業(yè)和個(gè)人構(gòu)成嚴(yán)重的信息安全風(fēng)險(xiǎn)。