Theo TechRadar, các nhà nghiên cứu cho biết nền tảng điện toán đám mây Google Cloud Platform (GCP) đang tồn tại lỗ hổng zero-day cho phép các tác nhân đe dọa truy cập vào tài khoản của người dùng và có khả năng đánh cắp tất cả dữ liệu của các dịch vụ Gmail, Drive, Docs, Photos, …
Theo đó, các chuyên gia từ Astrix Security nhận thấy rằng kẻ đe dọa có thể tạo ra các ứng dụng độc hại trên Google Cloud Platform và quảng cáo ứng dụng đó qua Google Marketplace hoặc nhà cung cấp bên thứ ba.
Nếu người dùng cài đặt ứng dụng, cấp phép và liên kết ứng dụng đó với mã token OAuth, họ sẽ cấp cho những kẻ tấn công quyền truy cập vào tài khoản Google của họ.
Sau đó, các tin tặc có thể “phù phép” cho ứng dụng trở nên “tàng hình” và ẩn nó khỏi trang quản lý ứng dụng của Google, khiến nạn nhân không thể giải quyết lỗ hổng. Phương pháp “ẩn” ứng dụng chính là nơi chứa lỗ hổng zero-day, bằng cách xóa dự án GCP được liên kết, những kẻ tấn công sẽ khiến ứng dụng chuyển sang trạng thái “đang chờ xóa” và do đó nó sẽ ẩn đi trên trang quản lý ứng dụng.
Các nhà nghiên cứu cho biết: “Vì đây là nơi duy nhất người dùng Google có thể xem các ứng dụng và thu hồi quyền truy cập của chúng, nên lỗ hổng cũng khiến ứng dụng độc hại không thể bị xóa khỏi tài khoản Google”.
Sau này, bất cứ khi nào những kẻ tấn công thấy thích hợp, chúng có thể khôi phục dự án GCP, nhận token mới và truy xuất dữ liệu từ tài khoản của nạn nhân. Thậm chí, sau khi đạt được mục đích, chúng nhanh chóng ẩn ứng dụng một lần nữa để khôi phục trạng thái không thể xóa. Nói cách khác, tài khoản của người dùng hoàn toàn nằm gọn trong tay của kẻ xấu.
Lỗ hổng này được Astrix Security gọi là GhostToken. Điều quan trọng cần lưu ý là tác động của lỗ hổng phụ thuộc rất nhiều vào quyền mà nạn nhân cấp cho các ứng dụng độc hại.
Lỗ hổng được phát hiện vào mùa hè năm 2022 và đã được xử lý vào tháng 4 năm nay. Giờ đây, các ứng dụng GCP OAuth đang chờ xóa sẽ xuất hiện trên trang “Apps with access to your account” - Ứng dụng có quyền truy cập vào tài khoản của bạn.