谷歌OAuth驗證系統曝漏洞，惡意軟體能夠用以竊取Google帳戶

CloudSEK的威脅研究團隊最近發現，Telegram頻道上有人披露了關於Google帳戶的一個漏洞，該漏洞允許惡意軟體恢復已過期的身份驗證Cookie，並將之用於登入受害者的 Google帳戶。

在網路上使用的各種瀏覽器Cookie中，會話Cookie尤為特殊，其中包含身份驗證資訊。像使用者開啟瀏覽器時能夠直接訪問以前登入過的網站，就是使用會話Cookie完成的。出於安全方面的考慮，通常這類Cookie被設計為只具有短暫的生命週期，以防止被不當利用。

該漏洞利用技術最初是於2023年10月20日由一個名為PRISMA的駭客在其Telegram頻道上披露。此後，該項技術迅速被整合到各種惡意軟體即服務（MaaS）資訊竊取家族中，如Lumma、Rhadamanthys、Stealc、Meduza、RisePro和WhiteSnake。

2023年11 月，Lumma和Rhadamanthys資訊竊取惡意軟體的網路犯罪分子聲稱，他們能夠恢復在網路攻擊中竊取的已過期的Google身份驗證Cookie，有了這些Cookie，他們能夠在使用者登出、重置密碼或其會話已過期後未經授權地訪問其Google 帳戶。

網路安全公司CloudSEK在一份研究報告中具體說明了駭客是如何利用該新0day的。CloudSEK對這個漏洞進行了反向工程，發現它使用了一個名為MultiLogin的未記錄的 Google OAuth端點（用於在多個不同的Google服務之間同步帳戶）。

透過濫用這個端點，資訊竊取惡意軟體能夠從已登入到Google帳戶的Chrome配置檔案中提取令牌和帳戶 ID。在這些竊取的資訊中，有兩個關鍵的資料：GAIA ID和加密令牌。這些加密令牌使用儲存在Chrome的“本地狀態”檔案中的加密金鑰進行解密。透過使用竊取的令牌和Google的MultiLogin端點，駭客可以重新生成已過期的Google服務Cookie，並持續訪問被攻陷的帳戶。

對於此事，谷歌官方回應道：“Google已知悉最近有惡意軟體家族竊取會話令牌的報告。涉及惡意軟體竊取Cookie和令牌的攻擊並不新鮮；我們經常升級我們的防禦措施來抵禦這類技術，以保護成為惡意軟體受害者的使用者。在這種情況下，Google已經採取行動來保護任何被發現受到影響的帳戶。”

“然而，重要的是要注意報告中存在的一個誤解——被盜的令牌和cookie不能被使用者撤銷。這是不正確的，因為被盜的會話可以透過簡單地登出受影響的瀏覽器，或者透過使用者裝置頁面遠端撤銷。我們將繼續監控情況，並根據需要提供更新。”

谷歌另外還建議使用者在Chrome中啟用增強安全瀏覽，以防範網路釣魚和惡意軟體下載。

編輯：左右裡

資訊來源：CloudSEK、Cybernews

轉載請註明出處和本文連結