Το κακόβουλο λογισμικό επαναφέρει τα cookie για να εισβάλει στον Λογαριασμό σας Google [U]

Μια σοβαρή ευπάθεια που σχετίζεται με τα cookie, η οποία αρχικά περιλαμβάνει κακόβουλο

λογισμικό

που εκτρέφει αρχεία από το

Chrome

φαίνεται να επιτρέπει την πρόσβαση στους Λογαριασμούς Google ακόμη και μετά την αλλαγή των κωδικών πρόσβασης.

Ενημέρωση 1/2/24

: Η Google κυκλοφόρησε

σήμερα

με μια απάντηση στο κακόβουλο λογισμικό διακριτικού περιόδου λειτουργίας. Η εταιρεία λέει ότι «έχει λάβει μέτρα για να προστατεύσει τυχόν παραβιασμένους λογαριασμούς που εντοπίστηκαν» και ότι ο τρόπος για την καταπολέμηση των κλεμμένων περιόδων σύνδεσης είναι η αποσύνδεση — chrome://settings/ > «Απενεργοποίηση» — από το πρόγραμμα περιήγησης ή τη συσκευή που επηρεάζεται.

Η Google γνωρίζει τις πρόσφατες αναφορές μιας οικογένειας κακόβουλου λογισμικού που κλέβει διακριτικά περιόδου λειτουργίας. Οι επιθέσεις που περιλαμβάνουν κακόβουλο λογισμικό που κλέβει cookies και token δεν είναι νέες. αναβαθμίζουμε τακτικά την άμυνά μας έναντι τέτοιων τεχνικών και για να προστατεύσουμε τους χρήστες που πέφτουν θύματα κακόβουλου λογισμικού. Σε αυτήν την περίπτωση, η Google έχει λάβει μέτρα για να προστατεύσει τυχόν παραβιασμένους λογαριασμούς που εντοπίστηκαν.

Ωστόσο, είναι σημαντικό να σημειωθεί μια εσφαλμένη αντίληψη στις αναφορές που υποδηλώνουν ότι τα κλεμμένα token και τα cookies δεν μπορούν να ανακληθούν από τον χρήστη. Αυτό είναι εσφαλμένο, καθώς οι κλεμμένες συνεδρίες μπορούν να ακυρωθούν με απλή αποσύνδεση από το πρόγραμμα περιήγησης που επηρεάζεται ή να ανακληθούν εξ αποστάσεως μέσω του χρήστη

σελίδα συσκευών

. Θα συνεχίσουμε να παρακολουθούμε την κατάσταση και να παρέχουμε ενημερώσεις όπως απαιτείται.

Στο μεταξύ, οι χρήστες θα πρέπει να λαμβάνουν συνεχώς μέτρα για να

αφαιρέστε τυχόν κακόβουλο λογισμικό

από τον υπολογιστή τους και συνιστούμε να το ενεργοποιήσετε

Βελτιωμένη Ασφαλής περιήγηση

στο Chrome για προστασία από λήψεις ηλεκτρονικού ψαρέματος και κακόβουλου λογισμικού.

---

Πρωτότυπο 29/12/23

: Αυτό είναι σύμφωνα με


BleepingComputer


και

μια εγγραφή

από τους CloudSEK και Hudson Rock. Σε υψηλό επίπεδο, αυτή η ευπάθεια απαιτεί την εγκατάσταση κακόβουλου λογισμικού σε έναν επιτραπέζιο υπολογιστή προκειμένου να «εξαχθεί και να αποκρυπτογραφηθεί τα διακριτικά σύνδεσης που είναι αποθηκευμένα στην τοπική βάση δεδομένων του

Google Chrome

».

Αυτό που επιτυγχάνεται χρησιμοποιείται στη συνέχεια για την αποστολή ενός αιτήματος σε ένα Google API – που συνήθως χρησιμοποιείται από το Chrome για συγχρονισμό λογαριασμών σε διαφορετικές υπηρεσίες Google – και για τη δημιουργία «σταθερών και μόνιμα cookie Google» υπεύθυνα για τον έλεγχο ταυτότητας που μπορούν να χρησιμοποιηθούν για την πρόσβαση στον λογαριασμό σας. Σε αυτήν την περίπτωση, δεν είναι σαφές εάν ο έλεγχος ταυτότητας δύο παραγόντων παρέχει κάποια προστασία.

Ουσιαστικά, η έγχυση του κλειδιού από αρχεία επαναφοράς επιτρέπει την εκ νέου εξουσιοδότηση των cookies, διασφαλίζοντας την εγκυρότητά τους ακόμη και μετά από αλλαγή κωδικού πρόσβασης.

Αυτό που είναι πιο ανησυχητικό είναι πώς αυτή η διαδικασία «αποκατάστασης» μπορεί να γίνει πολλές φορές εάν το θύμα δεν αντιληφθεί ποτέ ότι έχει παραβιαστεί. Ακόμη χειρότερο είναι πώς ακόμα και μετά την επαναφορά του κωδικού πρόσβασης του Λογαριασμού Google, αυτή η εκμετάλλευση μπορεί να χρησιμοποιηθεί άλλη μια φορά από τον κακό ηθοποιό για να αποκτήσει πρόσβαση στον λογαριασμό σας.

Πολλαπλές ομάδες κακόβουλου λογισμικού, έξι κατά

BleepingComputer’s

μετράνε, έχουν πρόσβαση σε αυτήν την ευπάθεια και την πουλάνε. Αυτό το exploit διαφημίστηκε για πρώτη φορά στα μέσα Νοεμβρίου. Συγκεκριμένα, ορισμένα από αυτά τα μέρη λένε ότι έχουν ήδη ενημερώσει αυτήν την ευπάθεια για να καταπολεμήσουν τα αντίμετρα που έχει εφαρμόσει η Google.

Επικοινωνήσαμε με την Google για περισσότερες πληροφορίες. Όσον αφορά τα άμεσα μέτρα που μπορείτε να λάβετε, μην εγκαταστήσετε λογισμικό με το οποίο δεν είστε εξοικειωμένοι (καθώς θα μπορούσε να είναι κακόβουλο λογισμικό).

Ο Kyle Bradshaw συνέβαλε σε αυτήν την ανάρτηση.