据Dark Reading 4月21日消息,谷歌云平台 (GCP) 被曝存在一个安全漏洞,可能允许网络攻击者在受害者的谷歌帐户中隐藏不可删除的恶意应用程序。
这个被称为“GhostToken”的漏洞是由 Astrix 安全研究人员发现并报告,根据该团队 4 月 20 日发布的分析,恶意程序之所以进行隐藏,是为了进一步读取受害者的 Gmail 帐户、访问 Google Drive 和 Google Photos 中的文件、查看 Google 日历以及通过谷歌地图跟踪位置,有了这些信息,攻击者就可以设计出极具迷惑性的网络钓鱼攻击。
除此之外,攻击者还可能从Google Drive 中删除文件,从受害者的 Gmail 帐户中写入电子邮件以执行社会工程攻击,从 Google Calendar、Photos 或 Docs 中敏感数据,等等。
如鬼魂般的恶意程序
谷歌云平台是谷歌所提供的一套公有云计算服务。该平台包括一系列在 Google 硬件上运行的用于计算、存储和应用程序开发的托管服务,也包括为最终用户托管各类应用程序,这些应用程序与其他应用程序生态系统一样,可通过谷歌应用市场下载。一旦用户授权下载,应用程序就会在后台收到一个令牌,根据应用程序请求的权限授予相应的Google 帐户访问权限。
但利用GhostToken 漏洞,网络攻击者可以制作一个恶意应用程序,将其植入到应用程序商店,伪装成合法的实用程序或服务。一旦用户下载并安装,便会隐藏在受害者的谷歌账户申请管理页面中,并无法从谷歌帐户中删除。此外,攻击者可以随时取消对恶意程序的隐藏状态,让其使用令牌访问受害者的帐户,然后再次隐藏并恢复成不可删除的状态。
Astrix 的研究员表示,这个特定的漏洞允许网络攻击者一方面访问组织的 GCP 环境,另一方面也可以访问个人 的Google Photos 和电子邮件帐户,从而对企业和个人构成严重的信息安全风险。