I en verden, hvor digital sikkerhed er blevet en hjørnesten i vores daglige liv, har Google for nylig stået over for en ny type hackerangreb, der har ramt Gmail-brugere.
Ifølge en analyse fra CloudSEK-forsker Pavan Karthick M, udnytter angriberne en uudokumenteret autentificeringspunkt, der bruges til synkronisering på tværs af tjenester, hvilket kritisk udnytter brugernes sessionscookies.
Disse cookies bruges til at logge ind på Google-brugerkonti uden at skulle indtaste legitimationsoplysninger, hvilket giver adgang til Gmail-indbakker, et højt prioriteret mål for sikkerhed.
Den første omtale af denne udnyttelse fandt sted den 20. oktober på en russisksproget Telegram-kanal. Inden den 14. november var det kendt, at det blev inkluderet i malware brugt af den kriminelle gruppe Lumia, og snart efter blev det overtaget af andre trusselsaktører.
Så sent som den 27. december blev trusselsaktører observeret på dark web, der demonstrerede brugen af denne udnyttelse mod Google-kontosessionscookies.
CloudSEK's trusselsanalyse indikerer, at udløbne sessionscookies kan gendannes for at tillade fortsat og udvidet adgang af angribere. Endvidere angiver forskningen, at udnyttelsen muliggør vedvarende adgang til Google-tjenester, selv efter at brugerne har nulstillet deres adgangskoder.
Og det har fået Google ud af busken:
"Prøv at slukke og tænde igen", lyder den simple løsning.
En talsperson for Google udtaler, at selskabet er opmærksom på nylige rapporter om en malware-serie, der stjæler sessionstokens og anerkender, at sådanne angreb der involverer malware, der stjæler cookies og tokens, ikke er nye.
Google rapporterer også, at de rutinemæssigt opgraderer forsvar mod sådanne teknikker og har taget skridt til at sikre eventuelle kompromitterede konti opdaget i denne forbindelse.
Google afviser dog nogle rapporter, der hævder, at det er umuligt at tilbagekalde stjålne tokens og cookies. Stjålne sessioner kan ugyldiggøres lyder meldingen fra Google.
Der skal du blot logge ud af den berørte browser, eller fjern tilbagekaldelse via brugerens enhedsside. Google anbefaler også at aktivere Enhanced Safe Browsing i Chrome for at beskytte mod phishing og malware downloads.
CloudSEK's analyse går dog lidt mere i detaljer:
Hvis du mistænker, at din konto kan være kompromitteret, eller som en generel forholdsregel, bør du logge ud af alle browserprofiler for at ugyldiggøre de nuværende sessionstokens. Efter dette skal du nulstille din adgangskode og logge ind igen for at generere nye tokens. Nulstilling af din adgangskode forstyrrer effektivt uautoriseret adgang ved at ugyldiggøre de gamle tokens, som infostealers er afhængige af, og giver dermed en midlertidig barriere for fortsættelsen af deres adgang.
