【資料圖】
據(jù)Dark Reading 4月21日消息�,谷歌云平臺(tái) (GCP) 被曝存在一個(gè)安全漏洞,可能允許網(wǎng)絡(luò)攻擊者在受害者的谷歌帳戶中隱藏不可刪除的惡意應(yīng)用程序��。
這個(gè)被稱為“GhostToken”的漏洞是由 Astrix 安全研究人員發(fā)現(xiàn)并報(bào)告���,根據(jù)該團(tuán)隊(duì) 4 月 20 日發(fā)布的分析�����,惡意程序之所以進(jìn)行隱藏����,是為了進(jìn)一步讀取受害者的 Gmail 帳戶、訪問(wèn) Google Drive 和 Google Photos 中的文件�����、查看 Google 日歷以及通過(guò)谷歌地圖跟蹤位置�,有了這些信息,攻擊者就可以設(shè)計(jì)出極具迷惑性的網(wǎng)絡(luò)釣魚(yú)攻擊����。
除此之外,攻擊者還可能從Google Drive 中刪除文件�,從受害者的 Gmail 帳戶中寫入電子郵件以執(zhí)行社會(huì)工程攻擊,從 Google Calendar�����、Photos 或 Docs 中敏感數(shù)據(jù)��,等等�����。
如鬼魂般的惡意程序
谷歌云平臺(tái)是谷歌所提供的一套公有云計(jì)算服務(wù)。該平臺(tái)包括一系列在 Google 硬件上運(yùn)行的用于計(jì)算��、存儲(chǔ)和應(yīng)用程序開(kāi)發(fā)的托管服務(wù)�����,也包括為最終用戶托管各類應(yīng)用程序����,這些應(yīng)用程序與其他應(yīng)用程序生態(tài)系統(tǒng)一樣��,可通過(guò)谷歌應(yīng)用市場(chǎng)下載����。一旦用戶授權(quán)下載,應(yīng)用程序就會(huì)在后臺(tái)收到一個(gè)令牌���,根據(jù)應(yīng)用程序請(qǐng)求的權(quán)限授予相應(yīng)的Google 帳戶訪問(wèn)權(quán)限�����。
但利用GhostToken 漏洞����,網(wǎng)絡(luò)攻擊者可以制作一個(gè)惡意應(yīng)用程序,將其植入到應(yīng)用程序商店�,偽裝成合法的實(shí)用程序或服務(wù)。一旦用戶下載并安裝��,便會(huì)隱藏在受害者的谷歌賬戶申請(qǐng)管理頁(yè)面中���,并無(wú)法從谷歌帳戶中刪除�。此外�,攻擊者可以隨時(shí)取消對(duì)惡意程序的隱藏狀態(tài),讓其使用令牌訪問(wèn)受害者的帳戶�,然后再次隱藏并恢復(fù)成不可刪除的狀態(tài)。
Astrix 的研究員表示��,這個(gè)特定的漏洞允許網(wǎng)絡(luò)攻擊者一方面訪問(wèn)組織的 GCP 環(huán)境����,另一方面也可以訪問(wèn)個(gè)人 的Google Photos 和電子郵件帳戶,從而對(duì)企業(yè)和個(gè)人構(gòu)成嚴(yán)重的信息安全風(fēng)險(xiǎn)�。
