Κακόβουλο λογισμικό κάνει κατάχρηση του Google OAuth endpoint για να "αναβιώσει" cookies, και να υποκλέψει accounts

[nnn]

Πολλές κατηγορίες κακόβουλου λογισμικού που κλέβουν πληροφορίες κάνουν κατάχρηση ενός μη καταγεγραμμένου endpoint του Google OAuth με την ονομασία "MultiLogin" για να επαναφέρουν ληγμένα cookies ελέγχου ταυτότητας και να συνδεθούν σε λογαριασμούς χρηστών, ακόμη και αν ο κωδικός πρόσβασης ενός λογαριασμού έχει επαναφερθεί.

Τα cookies συνεδρίας είναι ένας ειδικός τύπος cookie του προγράμματος περιήγησης που περιέχει πληροφορίες ελέγχου ταυτότητας, επιτρέποντας σε ένα άτομο να συνδεθεί αυτόματα σε ιστότοπους και υπηρεσίες χωρίς να εισάγει τα διαπιστευτήριά του.

Αυτοί οι τύποι cookies προορίζονται να έχουν περιορισμένη διάρκεια ζωής, έτσι ώστε να μην μπορούν να χρησιμοποιηθούν επ' αόριστον από απειλητικούς παράγοντες για να συνδεθούν σε λογαριασμούς εάν κλαπούν.

Στα τέλη Νοεμβρίου του 2023, το BleepingComputer ανέφερε για δύο υποκλοπείς πληροφοριών, συγκεκριμένα τους Lumma και Rhadamanthys, οι οποίοι ισχυρίζονταν ότι μπορούσαν να επαναφέρουν ληγμένα cookies ελέγχου ταυτότητας της Google που είχαν κλαπεί σε επιθέσεις.

Αυτά τα cookies θα επέτρεπαν στους εγκληματίες του κυβερνοχώρου να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε λογαριασμούς Google ακόμη και αφού οι νόμιμοι ιδιοκτήτες έχουν αποσυνδεθεί, έχουν επαναφέρει τους κωδικούς πρόσβασης ή έχει λήξει η συνεδρία τους.

Το BleepingComputer επικοινώνησε με την Google πολλές φορές κατά τη διάρκεια ενός μήνα με ερωτήσεις σχετικά με αυτούς τους ισχυρισμούς και με το πώς σκοπεύουν να περιορίσουν το πρόβλημα, αλλά δεν λάβαμε ποτέ απάντηση.

Αναλυτικά : Bleeping Computer

[konenas]

Έξυπνο!

[Iris07]

Έχω τον FF να διαγράφει Cookies, Data, History (εκτός Browsing) κάθε φορά που κλείνει..

[netblues]

Ωστε να μην γινεσαι track ως avm fan?

[Gentoo]

Έχω τον FF να διαγράφει Cookies, Data, History (εκτός Browsing) κάθε φορά που κλείνει..

Εγώ κάνω το εξής. Έχω blocked ολα τα cookies by default και βάζω επιλεκτικά exceptions σε sites που θέλω να κάνω login.

Χρησιμοποιώ επίσης το cookie autodelete addon όπου διαγράφει επί τόπου τα cookies με το που κλείσω το tab.

Με το cookie quick manager κάνω export σε sites που μπαίνω καθημερινά σε αρχείο και όταν ανοίγω νέο session, απλώς φορτώνω τα exported cookies και είμαι logged in κανονικά.

Επίσης έχω διαφορετικά ff profiles για συγκεκριμένα sites. Πχ όλα τα social τα ανοίγω από ένα συγκεκριμένο ff profile, για τη γενική περιήγηση έχω ένα profile το οποίο τα έχω όλα blocked, έχω κι ένα profile για sites που θέλω να μπω περιστασιακά και τα θέλω όλα unblocked (για να μη χάνω χρόνο στο να ξεμπλοκάρω το κάθε element του site).

Κι έχω ένα ακόμα addon με το οποίο μπορώ να κάνω open ένα link απευθείας σε όποιο profile θέλω (για να μη χάνω χρόνο με το copy/paste και να ψάχνω το εκάστοτε profile).

Τα παραπάνω είναι για μερακλήδες, που έχουν χρόνο να ασχοληθούν και να κάνουν τη φάση πιο ελεγχόμενη και στα μέτρα τους.
Τα αναφέρω για να δώσω ιδέες σε κάποιον που ενδεχομένως ψάχνει τη φάση

ΥΓ. Ο ff έχει δυνατότητα να ανοίγει containarized tabs, στο ίδιο profile, οπότε αυτό που κάνω με τα ξεχωριστά ff profiles είναι κάπως overkill, αλλά εμένα προσωπικά με βολεύει γιατί έχω isolated όλο το περιβάλλον.
Γιατί για τα social πχ θα χρησιμοποιήσω διαφορετικά plugins, θα έχω άλλα settings στο about:config, θέλω να έχω bookmarks/history μόνο για εκείνα ξεχωριστά, έχω φτιάξει τα search engines να ψάχνουν εντός των social, κλπ.

[mzaf]

Ο ff έχει δυνατότητα να ανοίγει containarized tabs

Αυτό ακριβώς.

[Pixel 57]

Και cookie autodelete για άμεση εκκαθάριση και delete on exit για σιγουριά.

[tsigarid]

Εσείς που σβήνετε όλα τα cookies με την έξοδο, κάνετε ξανά login σε ένα σωρό sites; Και απαντάτε την ερώτηση για τα cookies σε κάθε επίσκεψη; Ελαφρά μαζοχιστικό το βρίσκω.

[Gentoo]

Εσείς που σβήνετε όλα τα cookies με την έξοδο, κάνετε ξανά login σε ένα σωρό sites; Και απαντάτε την ερώτηση για τα cookies σε κάθε επίσκεψη; Ελαφρά μαζοχιστικό το βρίσκω.

Εγώ περιέγραψα παραπάνω πώς το κάνω. Επίσης, υπάρχουν addons για να κάνουν auto reject το cookie consent banner.

[MitsakosGR]

Εσείς που σβήνετε όλα τα cookies με την έξοδο, κάνετε ξανά login σε ένα σωρό sites; Και απαντάτε την ερώτηση για τα cookies σε κάθε επίσκεψη; Ελαφρά μαζοχιστικό το βρίσκω.

Προσωπικά, με παρόμοια λογική με του Gentoo, έχω FF Containers για τα διάφορα site και το Cookie AutoDelete που τα διαγράφει αυτόματα μετά από λίγη ώρα, αλλά επιτρέπει white-list σε διάφορα site.

Οπότε σε site που επισκέπτομαι και θέλω να είμαι συνδεδεμένος (πχ adslgr) το έχω σε whitelist οπότε δεν το διαγράφει. Σε άλλα που μπαίνω πιο σπάνια, κάνω login κάθε φορά που θέλω κάτι.

[flyboy]

Ύπάρχει μια παρανόηση βλέπω για ποιο πράγμα μιλάει το άρθρο. Το εν λόγω malware εκμεταλλεύται το feature του Chrome που σου επιτρέπει να κάνεις login στον browser. O chrome στη συγκεκριμένη περίπτωση ακολουθεί ένα συγκεκριμένο flow για να πάρει ένα oauth token. Αυτό το token το αποθηκεύει στον δίσκο και το χρησιμοποιεί για να κάνει generate cookies όποτε χρειάζεται να κάνει maintain το session, να κάνει sync τα bookmarks, passwords κλπ κλπ. Άρα αν έχετε κάνει login στον chrome, είτε διαγράφετε cookies είτε ανοίγετε τα πάντα σε incognito, το token είναι εκεί.

[MitsakosGR]

Ύπάρχει μια παρανόηση βλέπω για ποιο πράγμα μιλάει το άρθρο. Το εν λόγω malware εκμεταλλεύται το feature του Chrome που σου επιτρέπει να κάνεις login στον browser. O chrome στη συγκεκριμένη περίπτωση ακολουθεί ένα συγκεκριμένο flow για να πάρει ένα oauth token. Αυτό το token το αποθηκεύει στον δίσκο και το χρησιμοποιεί για να κάνει generate cookies όποτε χρειάζεται να κάνει maintain το session, να κάνει sync τα bookmarks, passwords κλπ κλπ. Άρα αν έχετε κάνει login στον chrome, είτε διαγράφετε cookies είτε ανοίγετε τα πάντα σε incognito, το token είναι εκεί.

Ισχύει ότι το να διαγράψεις το token, αν στο έχουν ήδη κλέψει, δεν σε προστατεύει από τη συγκεκριμένη ευπάθεια, η οποία δεν αφορά browser αλλά το Google OAuth API. Αλλά το να διαγράφεις τα token, βοηθάει στο να μην στα κλέψουν!

[flyboy]

Ισχύει ότι το να διαγράψεις το token, αν στο έχουν ήδη κλέψει, δεν σε προστατεύει από τη συγκεκριμένη ευπάθεια, η οποία δεν αφορά browser αλλά το Google OAuth API. Αλλά το να διαγράφεις τα token, βοηθάει στο να μην στα κλέψουν!

Δε νομίζω ότι πηγαίνει ο καθένας χειροκίνητα στη sqlite βάση να σβήσει το token του chrome. Δεν είναι cookie. Είναι bearer token. Και δεν "καθαρίζει" αν σβήσεις τα cookies ή όλα τα browsing data. Ξαναδιευκρινίζω ότι πρέπει να έχεις κάνει sign in στον browser.

Edit: Αν έχεις κάνει login στον browser, κάνεις clear τα browsing data, πατήσεις στο εικονίδιο του λογαριασμού σου και μετά "Manage your Google account", μάντεψε τι θα γίνει. Θα σε κάνει αυτόματα login γιατί θα χρησιμοποιήσει το token σε συνδυασμό με το multilogin API για να ξανακάνει generate τα cookies που διέγραψες πριν λίγο.