Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Секретный API Google Chrome позволяет незаметно воровать пользовательские данные

09/01/24

Google Chrome-Jan-09-2024-11-11-04-9444-AM

Четыре программы-вымогателя – Stealc, Medusa, RisePro и Whitesnake –  начали применять технику API для восстановления истекших учетных данных Google, украденных в ходе атак. Специалисты ИБ-компании CloudSEK выявили, что вредоносные программы используют API Google OAuth «MultiLogin» для создания новых рабочих cookie-файлов аутентификации, когда срок действия исходных украденных cookie-файлов Google жертвы истекает.Указанный API предназначен для синхронизации аккаунтов разных сервисов Google, пишет Securitylab. Вредоносные программы крадут не только аутентификационные куки для сайтов Google, но и специальный токен, который может использоваться для обновления или создания новых токенов аутентификации. Специалистам не удалось узнать больше об этом API у Google, а единственную документацию можно найти в исходном коде Google Chrome.

Google в своем заявлении подтвердила свою осведомленность о ситуации, однако относится к проблеме как к обычной краже куки через вредоносное ПО. Компания уверяет, что регулярно обновляет свои защитные механизмы и помогает пользователям, пострадавшим от вредоносного ПО.

Google рекомендует пользователям выходить из своего аккаунта Chrome на затронутых устройствах и аннулировать все активные сессии через меню «Мои устройства», что сделает токен Refresh недействительным для использования с API. Кроме того, Google советует изменить пароль, особенно если он использовался на других сайтах.

Тем не менее, многие затронутые пользователи не знают, когда и как предпринять предложенные меры. Часто они узнают о заражении только после того, как их аккаунты были взломаны и использованы неправомерно. Примером может служить случай с сотрудником Orange Spain, когда заражение стало известно только после использования украденных учетных данных для входа в аккаунт компании и изменения ее конфигурации BGP, что привело к сбоям в интернет-сервисах.

На данный момент Google уведомляет пострадавших от злоупотребления API, но остается вопрос о том, как будут уведомлены будущие жертвы и как они узнают о необходимости выхода из браузера для аннулирования токенов аутентификации.

Многие специалисты считают, что лучшим решением было бы ограничение доступа к упомянутому API, чтобы предотвратить его эсплуатацию. Однако на данный момент нет информации о том, что Google планирует предпринять такие шаги. Google не ответила на вопросы о своих планах по борьбе со злоупотреблениями API.

Темы:УгрозыGoogle Chromeданные пользователейCloudSEK
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...