パスワード変更後も継続してGoogleアカウントを侵害できるエクスプロイト、実装するマルウェアが増加 19
ストーリー by headless
侵害 部門より
侵害 部門より
パスワードを変更しても攻撃者による Google サービスへのアクセスを可能にするエクスプロイトが10月に公開されたが、このエクスプロイトを組み込んだ情報窃取型マルウェアが急速に広がっているそうだ
(CloudSEK のブログ記事、
The Register の記事)。
エクスプロイトの仕組みは、トークンを改ざんして永続的な Google の cookie を生成することでパスワードを変更しても引き続きアクセスが可能になるというもの。エクスプロイトの利用が判明しているマルウェアファミリーとしては Lumma や Rhadamanthys、Stealc、Meduza、RisePro、WhiteSnake が挙げられている。
CloudSEK の調査によれば、エクスプロイトは非公開の「MultiLogin」と呼ばれる Google の OAuth エンドポイントを利用しているという。MultiLogin は Google の複数のサービスにわたって Google アカウントを同期する内部メカニズムであり、Chromium のソースコードで用途が説明されている。
根本的な解決には Google による修正を待つしかないが、CloudSEK では暫定的な緩和策を紹介している。アカウントが侵害されている可能性がある場合、または用心のために緩和策を適用するには、すべてのブラウザープロファイルからサインアウトして現在のセッショントークンを無効化し、パスワードをリセットしてから再びサインインして新しいトークンを作成すればいい。特にトークンと GAIA ID が盗まれたと考えられる場合にはこの操作が重要とのことだ。
エクスプロイトの仕組みは、トークンを改ざんして永続的な Google の cookie を生成することでパスワードを変更しても引き続きアクセスが可能になるというもの。エクスプロイトの利用が判明しているマルウェアファミリーとしては Lumma や Rhadamanthys、Stealc、Meduza、RisePro、WhiteSnake が挙げられている。
CloudSEK の調査によれば、エクスプロイトは非公開の「MultiLogin」と呼ばれる Google の OAuth エンドポイントを利用しているという。MultiLogin は Google の複数のサービスにわたって Google アカウントを同期する内部メカニズムであり、Chromium のソースコードで用途が説明されている。
根本的な解決には Google による修正を待つしかないが、CloudSEK では暫定的な緩和策を紹介している。アカウントが侵害されている可能性がある場合、または用心のために緩和策を適用するには、すべてのブラウザープロファイルからサインアウトして現在のセッショントークンを無効化し、パスワードをリセットしてから再びサインインして新しいトークンを作成すればいい。特にトークンと GAIA ID が盗まれたと考えられる場合にはこの操作が重要とのことだ。
Android端末でGoogleアカウントを用意している場合 (スコア:0)
ブラウザからサインアウトするだけでいいの?
さっぱりわからん。 (スコア:0)
一般ユーザがどんな経緯でこんなクラックを受けるのか、さっぱりわからん。次のどれ?
・怪しいアプリケーションを使った。
・怪しいサイトもしくはクラックを受けたサイトから Google ID でログインした。
・Windows を使っていた。
・Chrome を使っていた。
・その他
Re: (スコア:0)
現在の侵入経路は圧倒的に詐欺広告
Re: (スコア:0)
怪しいChromeのアドオンをインストールしていた
#インストールした当時は怪しくなくてもあとからマルウェア混入することもある
Re: (スコア:0)
業務用のパソコンで広告をクリックするな!広告ブロッカーを使え!
Re: (スコア:0)
業務用のパソコンで広告をクリックするな!広告ブロッカーを使え!
せんぱい!あなりちくすがみれません!
# 阿呆には使わせないが正解だがそうもいかないっていうジレンマ
Re: (スコア:0)
1、そもそも構造に欠陥がある。
2、アプリ許可をあえた後に特権が濫用される。
パスワードを変えてもアプリ側は特権を得ているのでやりたい放題
って事
Re: (スコア:0)
Windowsに例える方が理解しやすいと思うので。
アプリをインストールしてアプリにAdministrator権限を付与する。
Administratorのパスワードを変えてもアプリはAdministrator権限があるので
好き勝手にできる。
で返信
Re: (スコア:0)
Windowsとは一体...
Re: (スコア:0)
脆弱性そのもの
構造に欠陥があるものはその場限りの修正を施しても
最後は廃止以外の選択肢しか無い
Internet Explorerしかり
Re: (スコア:0)
パスワードを変更してもユーザー権限が維持される脆弱性は一般的なOSにはありますね。
だからOAuthはクソだとあれほど (スコア:0)
認証させるまではクッソ面倒くさいけど、一回通してしまったらやりたい放題みたいなデザイン。
ぜったい悪用されると思ってた。
これに関してはAppleの、自分がどんなものにサインアップしているかがわかり、それが明快な言葉で、しかも何度も示されるデザインのが優れてる。
古くさいとか面倒くさいとか言うやつもいるけど、少なくとも件のようなことにはならない。
Re: (スコア:0)
MobileMeの頃に登録したAppleアカウント、パスワードの再発行だけは繰り返しできるがログインできないのがあるんだけど、ぶっ壊れてるのかねこれ。
Re: (スコア:0)
2ファクタ認証になるので、当該アカウントの「信頼できる連絡先」宛てにSMSが届いているのでは?その連絡先が行方不明とか?
あとは、
https://support.apple.com/ja-jp/HT201771 [apple.com]
に書かれていないケースとして、MobileMeをiCloudに移行してなくて、行き場のない状態になってるとか。
住所とか連絡先とかMobileMeアカウント時の各種情報が揃ってるなら、サポートに相談すればいいと思うけれど。
IDは(取引記録上)消せないけれど(事実上)無効化してアクセスできなくする話、とかいろいろ融通利かせて相談に乗ってくれる(こともある)。
Re: (スコア:0)
いろいろ調べてくれてありがたいが、もう諦めてる。Appleでは複垢禁止されてないし。
そのメールアドレスでの資産は昔ダウンロード購入した曲ぐらいしかないので、サポートに連絡する気力もないんだよね。
別に問題が起きてどうしてもログイン必要なら連絡してみるよ。ありがとうございました。
前から変だなと思ってたんだけど (スコア:0)
PC用のGoogleドライブって、ブラウザでは2週間に一度必要なGoogleアカウントの再認証(といってもパスワードを入れなおすだけで2段階ってわけではない)とか、パスワード変更後の再認証とか出てきたことないんですよね。ドライブだから特別扱いなのか、ブラウザの認証データを持ってきてるのかもしれないですけど、これっていいんだろうか?と…
Re: 新しいトークンを作成するまでの間に、パスワードを変更されるのでは? (スコア:1)
勘違いしてますよ
そう言う話じゃありません