Und hatte er sich erstmal in Dein Google-Konto gehackt, so war es fast unmöglich, ihm den Zugang zu Deinen Nutzerdaten wieder zu entziehen.
Die von Astrix-Sicherheitsforschern entdeckte OAuth-Sicherheitslücke „GhostToken“ in der Google Cloud Platform ermöglichte es Angreifern, sich einen dauerhaften Zugriff auf Nutzerdaten mehrerer Google-Dienste zu verschaffen. Anwendern war es dabei nahezu unmöglich, einen Hacker wieder aus ihrem Google-Konto zu verbannen.
GhostToken: Zero-Day-Schwachstelle in der Google Cloud Platform mit brisanten Folgen
Forscher von Astrix Security haben eine Sicherheitslücke entdeckt, mit der Angreifer das Google-Konto einer fremden Person hacken und eine nicht entfernbare Malware darin verstecken konnten. Durch einen Fehler in der Verarbeitung von OAuth-Tokens waren infiltrierte Accounts für Cyberkriminelle permanent zugänglich.
Die “GhostToken” genannte Zero-Day-Schwachstelle in der Google Cloud Platform (GCP) hatte demnach das Potenzial, einem böswilligen Akteur dauerhaft Zugriff auf mehrere Google-Dienste seines Opfers zu gewähren – darunter Gmail, Drive, Fotos, Kalender und Maps (inklusive Standortverfolgung).
Ein Angreifer, der das Google-Konto seiner Zielperson gehackt und sich Zugang zu dessen Benutzerdaten verschafft hat, kann basierend auf den darunter befindlichen Informationen mitunter äußerst überzeugende Phishing-Angriffe durchführen oder sein Opfer sogar einer physischen Gefahr aussetzen.
Gelöschtes GCP-Projekt erlaubt Google-Konto-Hack
Im Kern basiert die Schwachstelle auf der Tatsache, dass Entwickler ein GCP-Projekt, nachdem sie dieses gelöscht haben, noch bis zu 30 Tage lang wiederherstellen können. Machen sie von dieser Funktion Gebrauch, so führt das ebenso zur Reaktivierung eines vor der Löschung ausgestellten OAuth-Refresh-Tokens.
Damit kann die jeweilige Anwendung ebenso ein neues Access-Token vom Server abrufen. Daten der Benutzer, die der App zuvor Zugriff auf ihren Google-Account gewährt haben, sind damit wieder in vollem Umfang zugänglich.
Während sich das GCP-Projekt jedoch im “schwebenden Zustand” befand, war es für den Anwender bisher unsichtbar. In der Kontoverwaltung des jeweiligen Google-Accounts unter “Apps mit Zugriff auf mein Konto” tauchte die gelöschte, aber noch wiederherstellbare Anwendung nicht mehr auf. Folglich ließ sich auch die Berechtigung für den Datenzugriff nicht entziehen.
Google-Konto gehackt: Löschen und Wiederherstellen im ewigen Wechsel
Angreifer konnten dieses Verhalten ausnutzen, indem sie zunächst über diverse App-Stores eine vermeintlich harmlose OAuth-Anwendung bereitstellten. Durch augenscheinlich legitime Funktionen konnten sie ihre Opfer dazu animierten, der Software Zugriff auf ihre Google-Daten zu gewähren.
Im Anschluss sei es einem Hacker den Astrix-Forschern zufolge möglich gewesen, sein Softwareprojekt zu löschen und somit zu verhindern, dass Anwender ihm die Berechtigungen für den Zugriff auf ihr Google-Konto wieder entziehen können.
Daraufhin konnte er das GCP-Projekt jederzeit temporär wiederherstellen, um ein neues Access-Token abzurufen und damit auf die Nutzerdaten zuzugreifen. Unmittelbar danach konnte er die Anwendung wieder vor dem Nutzer verstecken und somit stets unter dem Radar bleiben. In diesem sehr begrenzten Zeitfenster dürften die wenigsten Anwender eine Chance gehabt haben, den erneuten Zugriff zu blockieren.
Die einzige Bedingung war, dass der Angreifer sein Projekt nie länger als 30 Tage im gelöschten Status belassen durfte. Denn sonst hätte er den Zugriff darauf vollständig verloren.
Anfang April hat Google diesem Angriffsszenario jedoch einen Riegel vorgeschoben. Seitdem bleiben auch gelöschte Anwendungen in der App-Verwaltung der Benutzer sichtbar, solange diese noch wiederherstellbar sind. Folglich können Anwender einem Hacker die Berechtigungen auf das Google-Konto nun jederzeit wieder entziehen.
