Prema navodima bezbednosne kompanije CloudSEK, haker pod pseudonimom PRISMA se pohvalio moćnom zero-day eksploatacijom i razvijanjem sofisticiranog rešenja za generisanje upornih Google kolačića.
Ovo omogućava pristup Google nalogu čak i nakon resetovanja lozinke, što je direktna posledica manipulacije tokenom OAuth2 (Open Authorization 2.0).
Predstavljena tehnika pokazuje viši nivo sofisticiranosti i razumevanja Google-ovih internih mehanizama autentifikacije, a "još alarmantnija je činjenica da ova eksploatacija ostaje efikasna čak i nakon što korisnici resetuju svoje lozinke. Ova istrajnost u pristupu omogućava dugoročnu i potencijalno neotkrivenu eksploataciju korisničkih naloga i podataka", zaključio je CloudSEK tim.
Haker koji je otkrio ovu ranjivost izrazio je otvorenost za saradnju, što je olakšalo CloudSEK-u da razume problem i sprovede tehničku analizu.
Reverznim inženjeringom izvršne datoteke za eksploataciju, koju je obezbedio originalni autor, otkrivena je specifična krajnja tačka uključena u eksploataciju.
U saopštenju se navodi da je njihov tim za istraživanje pretnji, koristeći HUMINT i tehničku analizu, identifikovao koren ove pretnje u nedokumentovanoj krajnjoj tački Google Oauth pod nazivom "MultiLogin".
Ovo je arhivirana verzija originalne stranice. Izvinjavamo se ukoliko, usled tehničkih ograničenja,
stranica i njen sadržaj ne odgovaraju originalnoj verziji.
Komentari 0
Pogledaj komentare