Proofpoint: Google не до конца устранили возможность атак OAuth-червя

Олег Иванов 27 Июля 2017 - 18:32

...

Proofpoint: Google не до конца устранили возможность атак OAuth-червя

Исследователи безопасности Proofpoint отмечают, что мер, предпринятых Google в мае этого года для противодействия фишинговым атакам (например, OAuth-червя), оказалось недостаточно.

Атака OAuth-червя стала возможна благодаря тому, что злоумышленники имели возможность создавать, казалось бы, легитимные приложения и обманывать пользователей, заставляя их открывать доступ к учетным записям электронной почты и облачных сервисов. Отсутствие проверки позволяло хакерам имитировать Google Docs, что затронуло более миллиона пользователей G Suite.

Эти вредоносные действия заставили Google ужесточить правила OAuth и ввести проверку имен новых приложений.

Однако исследователи Proofpoint заявляют, что, несмотря на то, что Google смогла быстро реагировать на атаку, она не приняла должные меры, так как киберпреступники все еще могут «отправлять любое имя новых OAuth-клиентов, включая скрипты, приложения сторонних разработчиков и расширения». Proofpoint обнаружила, что проверки Google можно обойти.

Проблема, как утверждает Proofpoint, заключается в том, что Google устранила уязвимость, которая привела к майской атаке, но не коснулась корня этой проблемы. В результате разработчики по-прежнему могли использовать URL script.google.com.

Поскольку в пространстве клиентов OAuth исторически не было проверок действий, которые могли выполнять разработчики, это позволяло создавать любое приложение и запрос любых разрешений, которые считались необходимыми. Разработчикам приложений также разрешалось отправлять свои приложения кому-либо еще и использовать URL script.google.com.

«OAuth-червь запрашивал разрешение на использование электронной почты, что является довольно редким явлением со стороны приложений, исключая, разве что, почтовые клиенты вроде Outlook» - утверждают исследователи в области безопасности.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 30 Октября 2025 - 16:38

Трояны Соответствие законодательству РФ Домашние пользователи Государство

В Московском регионе задержаны предполагаемые авторы вредоноса Медуза

Полиция Москвы и Подмосковья задержала троих айтишников. Молодые люди подозреваются в причастности к созданию и распространению вредоносной программы «Медуза», а также к использованию ее в атаках на территории России.

В ходе расследования выяснилось, что ворующий данные зловред был создан около двух лет назад и продвигался через хакерские форумы. В мае этого года он засветился в атаке на одно из учреждений Астраханской области.

Те же вирусописатели создали еще один вредоносный продукт — бот, умеющий обходить средства защиты данных.

Следственным управлением УМВД по Астраханской области возбуждено уголовное дело по признакам преступления, предусмотренного ч. 2 ст. 273 УК РФ (создание / распространение / использование вредоносных программ в составе ОПГ, до пяти лет лишения свободы).

В ходе обысков у фигурантов были изъяты компьютерная техника, средства связи, банковские карты и другие предметы, имеющие доказательственное значение. Задержанным избраны различные меры пресечения, полиция пытается выявить других соучастников и дополнительные свидетельства противоправной деятельности.

О какой «Медузе» идет речь, можно только гадать. В пресс-релизе МВД РФ сказано, что зловред предназначен «для хищения учетных данных, сведений о криптокошельках и другой компьютерной информации».

По всей видимости, речь идет о Meduza Stealer, а не о банковском трояне Medusa, заточенном под Android, и уж явно не о шифровальщике с тем же именем.