Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Уязвимость DeleFriend: захват аккаунтов Gmail и Google Drive без контакта с пользователем

29/11/23

googleworkspace

Компания Google опровергла сообщение об уязвимости в дизайне Google Workspace, выявленной специалистами компании Hunters Security. Ошибка, по мнению Hunters Security, позволяет злоумышленнику похищать электронную почту из Gmail, извлекать данные из Google Drive и выполнять другие несанкционированные действия в API Google Workspace.

Исследователи из Hunters назвали уязвимость «DeleFriend». Ошибка позволяет атакующему манипулировать существующими делегированиями в Google Cloud Platform (GCP) и Google Workspace без статуса суперадминистратора, который обычно требуется для создания новых делегирований. Недостаток дает возможность искать учетные записи сервисов Google с глобальными делегированиями и повышать привилегии, пишет Securitylab.

Проблема связана с тем, что конфигурация делегирования домена определяется идентификатором ресурса учетной записи сервиса (OAuth ID), а не конкретными закрытыми ключами, связанными с объектом идентификации учетной записи службы. Кроме того, на уровне API не реализовано никаких ограничений на фаззинг комбинаций JSON Web Token (JWT), что позволяет киберпреступнику создавать многочисленные веб-токены JSON с различными областями действия OAuth — или предопределенными правилами доступа — чтобы попытаться идентифицировать учетные записи, у которых включено делегирование на уровне домена.

Однако Google заявила, что в продуктах компании нет проблем с безопасностью, и рекомендовала пользователям использовать минимально возможные привилегии для защиты от таких атак. Исследователи опубликовали на GitHub PoC-эксплойт (Proof-of-Concept), который показывает, как злоумышленник может использовать DeleFriend для выполнения различных вредоносных действий. Сюда входит несанкционированный доступ к данным и услугам, модификацию данных, подделку пользователей и мониторинг встреч в Google Calendar.

Hunters Security предложила несколько способов решения проблемы, включая ограничение количества запросов JWT с использованием одного и того же ключа и пересмотр полномочий, связанных с ролью Редактора. Компания сообщила Google об этой проблеме в августе, но на данный момент Google не устранила уязвимость.

Темы:GoogleУгрозыGmailHunters Security
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...