Уязвимость GhostToken позволяла пробэкдорить аккаунты Google

Уязвимость GhostToken позволяла пробэкдорить аккаунты Google

Уязвимость GhostToken позволяла пробэкдорить аккаунты Google

Google устранила уязвимость Cloud Platform (GCP), которая в той или иной степени затрагивала всех пользователей. С помощью это бреши злоумышленники могли пробэкдорить аккаунты через вредоносные OAuth-приложения.

Специалисты израильской компании Astrix Security назвали уязвимость GhostToken. Google узнала о проблеме в июне 2022 года, а патч вышел глобально лишь в этом месяце.

Смысл в том, что атакующие могут скрыть вредоносные приложения после аутентификации и привязки к токену OAuth, который даёт доступ к целевому аккаунту. Эксплуатация GhostToken позволяет убрать подключённые злонамеренные приложения со страницы управления Google-аккаунтом.

«Поскольку эта страница является единственным средством управления и просмотра подключённых приложений, после эксплуатации GhostToken целевой пользователь не сможет отзывать права и доступ», — пишут исследователи из Astrix Security.

«Атакующий же сможет, если захочет, открыть своё приложение, использовать токен для доступа к учётной записи жертвы, а затем быстро скрыть его. Другими словами, злоумышленник располагает своего рода призраком-токеном для входа в аккаунт жертвы».

Чтобы спрятать вредоносное приложение, атакующий должен был перевести его в состояние «ожидание удаления», отвязав соответствующий проект GCP. В этом случае после восстановления проекта злоумышленник получит новый токен, который можно использовать для доступа к учётной записи пользователя.

Как отметили эксперты, эти шаги можно повторять в цикле, скрывая от глаз жертвы злонамеренную активность.

Android 17 закручивает гайки: после 20 ошибок ПИН-код уже не перебрать

Google решила всерьез осложнить жизнь тем, кто пытается подобрать ПИН-код к чужому смартфону. В Android 17 компания радикально ужесточила защиту экрана блокировки, сократив допустимое число неверных попыток ввода практически в 90 раз.

В старых версиях системы злоумышленник теоретически мог сделать до 1800 попыток ввода ПИН-кода или пароля в течение пяти лет.

В Android 17 этот лимит сократили всего до 20 попыток. После двадцатой ошибки система полностью перестанет принимать новые варианты.

Ограничения начинают действовать практически сразу. Теперь в первую минуту разрешено лишь шесть неверных попыток, в течение шести минут — семь, за 25 минут — восемь, а за сутки — всего двенадцать.

По мнению Google, прежние лимиты оставляли слишком много пространства для атак. Многие пользователи выбирают простые ПИН-коды, связанные с датой рождения, годовщиной или другими легко угадываемыми комбинациями. Если злоумышленник знает подобную информацию, вероятность успешного подбора заметно возрастает.

Впрочем, о забывчивых владельцах смартфонов тоже подумали. Если пользователь несколько раз подряд случайно вводит один и тот же неправильный ПИН-код, Android 17 не будет считать такие ошибки отдельными попытками. Система распознает повторение и сообщит, что одинаковые неверные комбинации не засчитываются в общий лимит.

Google также немного переработала интерфейс блокировки. Вместо длинных таймеров вроде «Попробуйте снова через 1800 секунд» теперь будут отображаться привычные сообщения наподобие «Попробуйте снова через 30 минут».

Кроме того, на экране блокировки появится кнопка быстрого перехода к восстановлению доступа, чтобы пользователь мог быстрее найти инструкции по восстановлению учетной записи с другого устройства.

Для обычных пользователей изменения будут почти незаметны, а вот любителям подбирать чужие ПИН-коды станет значительно сложнее.

RSS: Новости на портале Anti-Malware.ru