На прошлой неделе исследователь Дилан Эйри из команды Truffle Security
Подробности уязвимости в протоколе Google OAuth. Ошибка в логике системы авторизации грозит в первую очередь компаниям, использующим инфраструктуру Google Workspace для совместной работы. Дилан описывает теоретическую ситуацию, в которой сотрудник такой организации создает «призрачную» учетную запись Google, которую затем использует для доступа к другим внутренним сервисам через OAuth. Поскольку учетная запись не была создана администратором корпоративного домена, ее невозможно удалить. Это означает, что можно сохранить доступ к личной информации даже после увольнения сотрудника и деактивации его основной учетной записи.
Эту атаку легче анализировать, разбив ее на этапы. Во-первых, Дилан Эйри задокументировал, что в экосистеме Google можно создать учетную запись с любым адресом электронной почты в любом домене. На этот адрес будет отправлено электронное письмо с просьбой подтвердить создание учетной записи. Если у вас есть доступ к этому адресу электронной почты, вы получите новую учетную запись Google. При этом у вас есть возможность зарегистрироваться и войти в любой другой сервис по протоколу OAuth, выбрав опцию «Войти через Google». Далее следует самый важный элемент теоретической атаки: учетную запись Google можно создать по адресу, например, login+(последовательность символов)domain.com. Электронные письма, отправленные на такой псевдоним, будут отправлены на основной адрес электронной почты [email protected]. Если у вас есть доступ к этому почтовому ящику, вы можете легко подтвердить создание новой учетной записи Google.
Итак, у вас есть дополнительная учетная запись в домене вашей организации. С его помощью и с помощью опции «Войти через Google» вы можете получить доступ к другим сервисам, проверяющим вашу принадлежность к конкретной компании по домену. Автор исследования подтвердил, что таким образом он может получить доступ к переписке в Slack и конференц-связи в сервисе Zoom. А теперь представим, что сотрудника, провернувшего такой трюк, уволили. Его основная учетная запись деактивируется администратором, но дополнительная учетная запись — учетная запись-призрак — остается, а вместе с ней сохраняется доступ к таким сервисам, как Zoom и Slack.
Дилан Эйри сообщил о проблеме Google в августе. На момент публикации данных об уязвимости она еще не была закрыта, хотя ошибка была подтверждена на стороне Google и исследователь даже получил оплату по программе Bug Bounty. Теоретически исправить ошибку просто: нужно либо запретить создание аккаунтов Google для доменов, зарегистрированных в Google Workspace, либо в принципе сделать невозможной регистрацию уникальных аккаунтов для псевдонимных адресов. Стоит отметить, что для собственного домена (google.com) компания Google запретила создание аккаунтов в собственном сервисе. Организации могут нейтрализовать угрозу со своей стороны, просто отключив опцию «Войти через Google». Это не первый случай, когда для доступа к личным данным используются «упрощенные» способы подключения. Автор обращается к работа 2017, в котором описан способ входа в корпоративный Slack с использованием временного адреса электронной почты, созданного Zendesk Support (и другими службами). Эту функцию теоретически можно также использовать в сочетании с ошибкой Google OAuth и в некоторых случаях разрешить доступ к данным компании, даже не будучи сотрудником организации.
Что еще произошло:
11 декабря Яблоко выпущенный обновил iOS и iPadOS до версии 17.2, в которой исправлено несколько критических уязвимостей. В частности, мы исправили проблему в компоненте ImageIO, которая могла привести к выполнению произвольного кода из-за обработки некоторых «подготовленных» изображений. Кроме того, обновление исправляет особенность работы с Bluetooth-устройствами, создававшую возможность так называемой BLE Spam-атаки. Суть атаки заключается в рассылке пакетов данных по Bluetooth с устройства (например, Flipper Zero с модифицированной прошивкой), что приводит к отказу в обслуживании всех устройств Apple в радиовидимости.
Google планы прекратить поддержку сторонних файлов cookie в браузере Google Chrome во второй половине 2024 года. Этот инструмент чаще всего используется для отслеживания перемещений пользователей между сайтами с целью показа «релевантной» рекламы. Вместо этого механизма Google предлагает собственный сервис Privacy Sandbox, в котором информация о предпочтениях пользователей собирается компанией, а не рекламодателями.
Свежий отчет Что касается эволюции криминального ПО, специалисты «Лаборатории Касперского» анализируют новые программы-вымогатели, работающие в Windows и Linux, а также вредоносное ПО для Mac OS.