Google a corrigé une vulnérabilité de sécurité de la plate-forme cloud (GCP) affectant tous les utilisateurs et permettant aux attaquants de détourner leurs comptes à l’aide d’applications OAuth malveillantes installées à partir de Google Marketplace ou de fournisseurs tiers.
Nommée GhostToken par Astrix Security, la startup israélienne de cybersécurité qui l’a découverte et signalée à Google en juin 2022, cette faille de sécurité a été corrigée via un correctif mondial qui a été déployé début avril 2023.
Après avoir été autorisées et liées à un jeton OAuth qui lui donne accès au compte Google, les applications malveillantes pourraient être rendues invisibles par les attaquants après avoir exploité cette vulnérabilité.
Cela masquerait l’application de la page de gestion des applications de Google, le seul endroit où les utilisateurs de Google peuvent gérer les applications connectées à leurs comptes.
« Comme c’est le seul endroit où les utilisateurs de Google peuvent voir leurs applications et révoquer leur accès, l’exploit rend l’application malveillante inamovible du compte Google », a déclaré Astrix Security.
« L’attaquant, d’autre part, à sa guise, peut afficher son application et utiliser le jeton pour accéder au compte de la victime, puis masquer rapidement à nouveau l’application pour restaurer son état inamovible. En d’autres termes, l’attaquant détient un « fantôme ». jeton sur le compte de la victime. »
Pour masquer les applications malveillantes autorisées par les victimes, les attaquants n’avaient qu’à les faire entrer dans un état « suppression en attente » en supprimant le projet GCP lié.
Cependant, après la restauration du projet, ils recevraient un jeton d’actualisation permettant de récupérer un nouveau jeton d’accès pouvant être utilisé pour accéder aux données des victimes.
Ces étapes pourraient être répétées en boucle, permettant aux attaquants de supprimer et de restaurer le projet GCP pour masquer l’application malveillante chaque fois qu’ils avaient besoin d’accéder aux données de la victime.
L’impact de l’attaque dépend des autorisations accordées aux applications malveillantes installées par les victimes.
La vulnérabilité « permet aux attaquants d’obtenir un accès permanent et inamovible au compte Google d’une victime en convertissant une application tierce déjà autorisée en une application de cheval de Troie malveillante, laissant les données personnelles de la victime exposées pour toujours », a déclaré Astrix Security Research Group.
« Cela peut inclure des données stockées sur les applications Google de la victime, telles que Gmail, Drive, Docs, Photos et Calendar, ou les services de Google Cloud Platform (BigQuery, Google Compute, etc.). »
Le correctif de Google permet aux applications GCP OAuth dans les états « suppression en attente » d’apparaître sur la page « Applications avec accès à votre compte », permettant aux utilisateurs de les supprimer et de protéger leurs comptes contre les tentatives de piratage.
Astrix conseille à tous les utilisateurs de Google de visiter la page de gestion des applications de leur compte et de vérifier toutes les applications tierces autorisées, en s’assurant que chacune d’elles ne dispose que des autorisations dont elle a besoin pour fonctionner.