Πολλές κατηγορίες κακόβουλου λογισμικού που κλέβουν πληροφορίες κάνουν κατάχρηση ενός μη καταγεγραμμένου endpoint του Google OAuth με την ονομασία "MultiLogin" για να επαναφέρουν ληγμένα cookies ελέγχου ταυτότητας και να συνδεθούν σε λογαριασμούς χρηστών, ακόμη και αν ο κωδικός πρόσβασης ενός λογαριασμού έχει επαναφερθεί.
Τα cookies συνεδρίας είναι ένας ειδικός τύπος cookie του προγράμματος περιήγησης που περιέχει πληροφορίες ελέγχου ταυτότητας, επιτρέποντας σε ένα άτομο να συνδεθεί αυτόματα σε ιστότοπους και υπηρεσίες χωρίς να εισάγει τα διαπιστευτήριά του.
Αυτοί οι τύποι cookies προορίζονται να έχουν περιορισμένη διάρκεια ζωής, έτσι ώστε να μην μπορούν να χρησιμοποιηθούν επ' αόριστον από απειλητικούς παράγοντες για να συνδεθούν σε λογαριασμούς εάν κλαπούν.
Στα τέλη Νοεμβρίου του 2023, το BleepingComputer ανέφερε για δύο υποκλοπείς πληροφοριών, συγκεκριμένα τους Lumma και Rhadamanthys, οι οποίοι ισχυρίζονταν ότι μπορούσαν να επαναφέρουν ληγμένα cookies ελέγχου ταυτότητας της Google που είχαν κλαπεί σε επιθέσεις.
Αυτά τα cookies θα επέτρεπαν στους εγκληματίες του κυβερνοχώρου να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε λογαριασμούς Google ακόμη και αφού οι νόμιμοι ιδιοκτήτες έχουν αποσυνδεθεί, έχουν επαναφέρει τους κωδικούς πρόσβασης ή έχει λήξει η συνεδρία τους.
Το BleepingComputer επικοινώνησε με την Google πολλές φορές κατά τη διάρκεια ενός μήνα με ερωτήσεις σχετικά με αυτούς τους ισχυρισμούς και με το πώς σκοπεύουν να περιορίσουν το πρόβλημα, αλλά δεν λάβαμε ποτέ απάντηση.
Αναλυτικά : Bleeping Computer
Εμφάνιση 1-13 από 13
-
30-12-23, 10:49 Κακόβουλο λογισμικό κάνει κατάχρηση του Google OAuth endpoint για να "αναβιώσει" cookies, και να υποκλέψει accounts #1
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 81.767
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
-
30-12-23, 11:53 Απάντηση: Κακόβουλο λογισμικό κάνει κατάχρηση του Google OAuth endpoint για να "αναβιώσει" cookies, και να υποκλέψει ac #2
Έξυπνο!
Όσοι το χάλκεον χέρι βαρύ του φόβου αισθάνονται,ζυγόν δουλείας ας έχωσι, θέλει αρετήν και τόλμην η ελευθερία. Ανδρέας Κάλβος
There is some shit, I will not eat. e.e.cummings
30 Hours per Week
-
30-12-23, 12:07 Απάντηση: Κακόβουλο λογισμικό κάνει κατάχρηση του Google OAuth endpoint για να "αναβιώσει" cookies, και να υποκλέψει ac #3
Έχω τον FF να διαγράφει Cookies, Data, History (εκτός Browsing) κάθε φορά που κλείνει..
My AVM Fritz : 7590 AX, 4060 AX, 6850 5G, Repeater 6000, Fon X6, Smart Gateway, Dect 500, Dect 440, Dect 200
Other : ZTE H267A, TP-Link TL-R605, Poynting XPOL-1-5G, Samsung S20 FE & S21 FE, Panasonic KX-TGF310, Cosmote TV Box, MI Box 2
New! : Qnap: QHora-301W - 10GbE
-
30-12-23, 12:12 Απάντηση: Κακόβουλο λογισμικό κάνει κατάχρηση του Google OAuth endpoint για να "αναβιώσει" cookies, και να υποκλέψει ac #4
Ωστε να μην γινεσαι track ως avm fan?
-
30-12-23, 12:28 Re: Απάντηση: Κακόβουλο λογισμικό κάνει κατάχρηση του Google OAuth endpoint για να "αναβιώσει" cookies, και να υποκλέψε #5
Εγώ κάνω το εξής. Έχω blocked ολα τα cookies by default και βάζω επιλεκτικά exceptions σε sites που θέλω να κάνω login.
Χρησιμοποιώ επίσης το cookie autodelete addon όπου διαγράφει επί τόπου τα cookies με το που κλείσω το tab.
Με το cookie quick manager κάνω export σε sites που μπαίνω καθημερινά σε αρχείο και όταν ανοίγω νέο session, απλώς φορτώνω τα exported cookies και είμαι logged in κανονικά.
Επίσης έχω διαφορετικά ff profiles για συγκεκριμένα sites. Πχ όλα τα social τα ανοίγω από ένα συγκεκριμένο ff profile, για τη γενική περιήγηση έχω ένα profile το οποίο τα έχω όλα blocked, έχω κι ένα profile για sites που θέλω να μπω περιστασιακά και τα θέλω όλα unblocked (για να μη χάνω χρόνο στο να ξεμπλοκάρω το κάθε element του site).
Κι έχω ένα ακόμα addon με το οποίο μπορώ να κάνω open ένα link απευθείας σε όποιο profile θέλω (για να μη χάνω χρόνο με το copy/paste και να ψάχνω το εκάστοτε profile).
Τα παραπάνω είναι για μερακλήδες, που έχουν χρόνο να ασχοληθούν και να κάνουν τη φάση πιο ελεγχόμενη και στα μέτρα τους.
Τα αναφέρω για να δώσω ιδέες σε κάποιον που ενδεχομένως ψάχνει τη φάση
ΥΓ. Ο ff έχει δυνατότητα να ανοίγει containarized tabs, στο ίδιο profile, οπότε αυτό που κάνω με τα ξεχωριστά ff profiles είναι κάπως overkill, αλλά εμένα προσωπικά με βολεύει γιατί έχω isolated όλο το περιβάλλον.
Γιατί για τα social πχ θα χρησιμοποιήσω διαφορετικά plugins, θα έχω άλλα settings στο about:config, θέλω να έχω bookmarks/history μόνο για εκείνα ξεχωριστά, έχω φτιάξει τα search engines να ψάχνουν εντός των social, κλπ.Dealing with pricks, is my speciality.
Linux all the way.
Open source all the way.
Fighting against telemetry, data harvesting, tracking, ads all the way.
For some people, ignorance is bliss.
-
30-12-23, 15:53 Απάντηση: Re: Απάντηση: Κακόβουλο λογισμικό κάνει κατάχρηση του Google OAuth endpoint για να "αναβιώσει" cookies, και ν #6
-
30-12-23, 22:24 Απάντηση: Κακόβουλο λογισμικό κάνει κατάχρηση του Google OAuth endpoint για να "αναβιώσει" cookies, και να υποκλέψει ac #7
Και cookie autodelete για άμεση εκκαθάριση και delete on exit για σιγουριά.
-
30-12-23, 23:14 Απάντηση: Κακόβουλο λογισμικό κάνει κατάχρηση του Google OAuth endpoint για να "αναβιώσει" cookies, και να υποκλέψει ac #8
Εσείς που σβήνετε όλα τα cookies με την έξοδο, κάνετε ξανά login σε ένα σωρό sites; Και απαντάτε την ερώτηση για τα cookies σε κάθε επίσκεψη; Ελαφρά μαζοχιστικό το βρίσκω.
-
31-12-23, 00:09 Re: Απάντηση: Κακόβουλο λογισμικό κάνει κατάχρηση του Google OAuth endpoint για να "αναβιώσει" cookies, και να υποκλέψε #9Dealing with pricks, is my speciality.
Linux all the way.
Open source all the way.
Fighting against telemetry, data harvesting, tracking, ads all the way.
For some people, ignorance is bliss.
-
02-01-24, 13:57 Απάντηση: Κακόβουλο λογισμικό κάνει κατάχρηση του Google OAuth endpoint για να "αναβιώσει" cookies, και να υποκλέψει ac #10
Προσωπικά, με παρόμοια λογική με του Gentoo, έχω FF Containers για τα διάφορα site και το Cookie AutoDelete που τα διαγράφει αυτόματα μετά από λίγη ώρα, αλλά επιτρέπει white-list σε διάφορα site.
Οπότε σε site που επισκέπτομαι και θέλω να είμαι συνδεδεμένος (πχ adslgr) το έχω σε whitelist οπότε δεν το διαγράφει. Σε άλλα που μπαίνω πιο σπάνια, κάνω login κάθε φορά που θέλω κάτι.
-
03-01-24, 11:07 Απάντηση: Κακόβουλο λογισμικό κάνει κατάχρηση του Google OAuth endpoint για να "αναβιώσει" cookies, και να υποκλέψει ac #11
Ύπάρχει μια παρανόηση βλέπω για ποιο πράγμα μιλάει το άρθρο. Το εν λόγω malware εκμεταλλεύται το feature του Chrome που σου επιτρέπει να κάνεις login στον browser. O chrome στη συγκεκριμένη περίπτωση ακολουθεί ένα συγκεκριμένο flow για να πάρει ένα oauth token. Αυτό το token το αποθηκεύει στον δίσκο και το χρησιμοποιεί για να κάνει generate cookies όποτε χρειάζεται να κάνει maintain το session, να κάνει sync τα bookmarks, passwords κλπ κλπ. Άρα αν έχετε κάνει login στον chrome, είτε διαγράφετε cookies είτε ανοίγετε τα πάντα σε incognito, το token είναι εκεί.
-
03-01-24, 11:38 Απάντηση: Κακόβουλο λογισμικό κάνει κατάχρηση του Google OAuth endpoint για να "αναβιώσει" cookies, και να υποκλέψει ac #12
-
03-01-24, 13:10 Απάντηση: Κακόβουλο λογισμικό κάνει κατάχρηση του Google OAuth endpoint για να "αναβιώσει" cookies, και να υποκλέψει ac #13
Δε νομίζω ότι πηγαίνει ο καθένας χειροκίνητα στη sqlite βάση να σβήσει το token του chrome. Δεν είναι cookie. Είναι bearer token. Και δεν "καθαρίζει" αν σβήσεις τα cookies ή όλα τα browsing data. Ξαναδιευκρινίζω ότι πρέπει να έχεις κάνει sign in στον browser.
Edit: Αν έχεις κάνει login στον browser, κάνεις clear τα browsing data, πατήσεις στο εικονίδιο του λογαριασμού σου και μετά "Manage your Google account", μάντεψε τι θα γίνει. Θα σε κάνει αυτόματα login γιατί θα χρησιμοποιήσει το token σε συνδυασμό με το multilogin API για να ξανακάνει generate τα cookies που διέγραψες πριν λίγο.Τελευταία επεξεργασία από το μέλος flyboy : 03-01-24 στις 13:48.
Bookmarks